那些遇到过的问题

反应和减少前端的安全性如何?

Nea*_*VDV 5 security reactjs redux react-redux

我正在构建react和redux应用程序时,我想知道这一段时间了.一个人手动更改redux和/或反应状态有多容易?我无法在任何地方找到相关文档,并且很想知道安全问题等.

redux状态的示例

{
    firstName: 'Foo',
    lastName: 'Bar',
    permissions: {
        'admin': false
    }
}
Run Code Online (Sandbox Code Playgroud)

他们是否能够改变或影响admin许可,并将其设置为true

如果他们可以改变它,它会被减速器等接受吗?

The*_*One 7

前端本质上是不安全的.我可以随时注入自己的代码.在运行时设置断点和操作变量.考虑到这一点.我可以在redux商店中放置任何我想要的东西并从中获取任何价值.这包括设置admin权限/标志true.我还可以触发reducers以新值运行.

  • “忽略”前端中的不安全性,并在后端中处理它。访问令牌等应存储在httpOnly安全cookie中。确保用户将admin权限更改为true都没有关系,因为任何需要权限的内容都会被后端拒绝。 (2认同)

归档时间:

查看次数:

2855 次

最近记录:

8 年,8 月 前
相关归档
无效的钩子调用。Hooks 只能在函数组件内部调用 130
Webpack + React + TypeScript:找不到模块......在...... node_modules/react / 18
如何模拟 React.MouseEvent<{}, MouseEvent> onClick 事件? 15
如何设置关联域/通用链接 12
材料UI +酶测试组件 10
防止ASP.Net MVC中的Cookie重播攻击 5
想要使用带有32个字节的AES 256 CBC,但它显示了java.security.InvalidAlgorithmParameterException 5
如何将Daemon或Server的Azure AD OAuth2访问令牌和刷新令牌转换为C#ASP.NET Web API 4
我如何知道应用内购买收据是否来自沙箱? 3
为什么SSL如此特别?我不能自己实施RSA吗? 2
难疑归档
如何将Git存储库还原为以前的提交 7278
如何在Bash中的分隔符上拆分字符串? 1885
如何检查字符串"StartsWith"是否是另一个字符串? 1660
什么是移动语义? 1614
用64位替换32位循环计数器会引入疯狂的性能偏差 1370
修复一个Git分离的头? 1318
虚拟成员在构造函数中调用 1270
如何使用INER JOIN与SQL Server删除? 1181
更改列:null为非null 1177
为PHP密码保护哈希和盐 1142