0

我习惯于在我的 Rails 视图中使用 cancan 来根据用户权限显示/隐藏视觉元素。例如,向允许添加新帖子的用户显示“添加新帖子”链接。

在主干应用程序中,我一开始将整个应用程序发送到客户端,我如何确保显示这些元素。显然,我可以根据用户模型上的属性隐藏它们。但是可以在客户端覆盖此属性。

只是想知道其他人正在做什么来保护他们的应用程序免受那些在客户端上弄乱 js 的人的影响。还是我太安全了(因为授权仍在服务器上正常工作,因此不会有任何数据发送到客户端)。

4

1 回答 1

3

我不会说你“太安全了”,但肯定你必须依靠你的后端来防止未经授权的活动。甚至在您开始使用客户端框架之前,有人可能已经模拟了一个“添加新帖子”链接,您必须阻止在服务器上访问该链接,但没有任何改变。

于 2012-05-12T13:31:52.080 回答