jos*_*ose 4 javascript security variables global
我在Web应用程序上使用一些全局变量,构建在Html/Javascript之上.我在页面(或部分页面)中使用这些变量,有时它们被用作ajax调用的后期数据.我的问题是:这有多安全?我当然可以为这些变量设置不同的值(例如使用控制台)然后,依赖于此变量的调用.想象一下,用户设置了一些与他甚至无法访问的内容相对应的Id.
该怎么做?
提前致谢
从安全性的角度来看,任何Web应用程序都没有什么不同.
从浏览器发送的任何内容都必须被服务器视为不受信任.这包括URL参数,表单发布数据,cookie,http标头和由javascript控制的任何内容.所有这些项目都可以被攻击者操纵.
从本质上讲,客户端中的值是什么并不重要,当他们以新的HTTP请求(包括XHR)的形式访问您的服务器时,您只需要担心它们.在此之前,具有错误值的变量不会造成任何损害.
确保您的服务器可以正确地验证当前用户,并且只允许他们访问他们有权执行的数据和操作.确保检查从浏览器接收的所有数据是正确的(如果已知)或正确的数据类型并且在预期限制内,拒绝数据并中止操作(如果不是).