如果您使用 JS 渲染页面并需要实现安全功能,则归结为以下内容:
var userID = getUserID();
if (userID == 1) {
html += renderDeleteButton();
}
但是用户不能只打开调试器并更改 userID 的值吗?
如果您使用 JS 渲染页面并需要实现安全功能,则归结为以下内容:
var userID = getUserID();
if (userID == 1) {
html += renderDeleteButton();
}
但是用户不能只打开调试器并更改 userID 的值吗?
是他们会。使用 JS,用户可以为所欲为。这就是为什么安全内容应该放在服务器端代码(PHP / ASP / 等)中的原因,因为用户无法修改它。
不要相信来自像 JS 这样的客户端脚本的任何东西。所有客户端脚本都可以由用户操作。任何安全类型的代码都应该驻留在服务器端脚本中。
javascript 中的验证/安全检查始终只是为了节省用户往返服务器的时间。它们仅用于性能。
如果你想要真正的安全,它必须在服务器上实现。