0

如果您使用 JS 渲染页面并需要实现安全功能,则归结为以下内容:

var userID = getUserID();
if (userID == 1) {
   html += renderDeleteButton();
}

但是用户不能只打开调试器并更改 userID 的值吗?

4

3 回答 3

8

是他们会。使用 JS,用户可以为所欲为。这就是为什么安全内容应该放在服务器端代码(PHP / ASP / 等)中的原因,因为用户无法修改它。

于 2012-07-27T17:18:19.910 回答
2

不要相信来自像 JS 这样的客户端脚本的任何东西。所有客户端脚本都可以由用户操作。任何安全类型的代码都应该驻留在服务器端脚本中。

于 2012-07-27T17:20:34.747 回答
1

javascript 中的验证/安全检查始终只是为了节省用户往返服务器的时间。它们仅用于性能。

如果你想要真正的安全,它必须在服务器上实现。

于 2012-07-27T17:28:04.270 回答