hum*_*nzz 1 javascript api ajax web-applications
我一直都在考虑这个问题,并且总是在服务器上使用更简单的解决方案.但是,我决定我可以向更多人询问它,可能是开明之一可以帮助我提供可靠的解决方案.
问题:您正在开发一个为许多用户提供服务的Web应用程序.您提供的部分功能涉及调用外部API.该调用是针对每个用户完成的.可以通过服务器或浏览器的JavaScript进行调用.在任何一种情况下,您都会在服务器数据库中保留处理API调用数据的结果.我想卸载调用API并将结果处理到浏览器的JavaScript,并在完成后将回调服务器并保留数据.我在这种方法中看到的问题是,任何人都可以修改JavaScript的行为(对于firebug及其类似的东西是多么容易)在服务器上保留恶意/不正确的数据.
我怎么能 - 服务器 - 相信从JavaScript进入我的数据 - 遵循前一个场景 - 是正确的并且没有改变?
简单的答案是你不能,JavaScript是管道中最不安全的机制 - 最容易操作.如果你希望它是安全的,你应该永远依靠JavaScript来实现它.
从更广泛的意义上考虑它:你只能保护一个你至少可以控制的环境......你无法控制浏览器,JavaScript引擎或用户操纵它.
始终始终始终验证服务器端.
| 归档时间: |
|
| 查看次数: |
137 次 |
| 最近记录: |