0

我正在使用 Backbone.js 开发一个单页应用程序,我在问自己一些问题。

当我开发一个依赖于服务器上呈现页面的应用程序时,我确实知道如何根据用户是否是管理员来显示某些部分(只是一个示例)。

但是现在,我使用 Backbone.js 和下划线模板来创建视图......所以......我可以创建一个 cookie,上面写着......好的......是管理员,但无论如何,一个足够聪明的人可以只更改 cookie 值。我能够解决它,只需在服务器端创建一个允许用户这样做的检查。

我正在考虑的其他机会是向服务器询问这些具体的代码,然后将它们粘贴到正确的站点

你怎么看?

谢谢

4

1 回答 1

2

您的情况对我来说并不完全清楚,但总的来说:如果服务器泄露“秘密”信息或允许受限操作而没有验证自己是否允许用户查看/做某事,这就是一个安全漏洞。身份验证必须以既定方式进行:用户登录服务器并接收安全(足够)令牌,例如会话 cookie。然后,服务器只将允许用户查看的信息发送给客户端,并且只允许用户被允许执行的操作。

根据定义,任何客户端总是不安全的。不存在安全的仅客户端身份验证系统。服务器不能相信客户的话。如果服务器无法验证该操作,则不得在客户端上执行任何关键操作。

于 2012-08-30T14:03:56.330 回答