crs*_*stn 1 javascript forms frontend calculator reactjs
我想知道是否有可能操纵在前端进行的价格计算?我读了很多关于JavaScript价格计算器的信息,这些价格计算器仅在客户端具有业务逻辑,而对于安全性则一无所知。
请考虑以下情形:
是否可以通过表格发送可操纵的计算结果?
是的,仅客户端计算(不进行服务器端验证)是不安全的。
不幸的是,限制(客户端)表单可以发送的值不足以防止操作。这是因为HTTP请求可以通过各种不同的方法发送,而不仅仅是从您构造的形式发送。
要绕过此保护,攻击者所需要做的就是检查您对服务器的API请求(例如,通过使用Chrome或Firefox中的开发人员工具),然后重新发送请求,并更改计算值。Firefox的开发人员工具甚至具有“编辑并重新发送”功能,该功能专门允许您执行此操作(它也具有调试和测试API的合法用途)。
您是否无法控制服务器环境?如果这样做,为什么不希望在那里进行验证?如果您告诉我们更多有关您的设置的信息,那么我们也许可以帮助您找到解决问题的好方法:)
| 归档时间: |
|
| 查看次数: |
197 次 |
| 最近记录: |