我一直在从我的网络应用程序收到意外的数据.黑客可以在javascript函数中更改值吗?
如果我的代码是:
my_function('new_item',10,20,30,40);
'new_item'参数是否可能被篡改?我该怎么做才能防止这种情况发生?
是的,任何用户都可以更改您发送到浏览器的任何JavaScript - "黑客"这个词被夸大了,因为即使是精明的用户也完全有能力使用Firefox的Firebug或Chrome/Safari的股票文档检查员分开.这就是Web开发人员重复公理的原因:
绝不相信用户输入!
在任何情况下都不应该信任用户发送的任何内容.在不转义数据库的情况下不要将任何内容插入数据库,除非会话可以验证,否则不要信任登录凭据.任何你信任的东西都是一个漏洞,有一天每个漏洞都会被利用.
不要试图保护你的JavaScript,这是不可能的.相反,请验证用户尝试执行的所有操作:如果他们请求不允许查看的页面,即使JavaScript请求,也不要将其提供给客户端.
| 归档时间: |
|
| 查看次数: |
1047 次 |
| 最近记录: |