1

我知道我无法隐藏它。但我只是想确定我做这件事是对的。
我有一个主视图,我在其中渲染了一些部分视图:

@{
    ViewBag.Title = "Index";
}
...
@{Html.RenderAction("Index", "Product");}
@{Html.RenderAction("Index", "Machine");}

产品和机器控制器中,我有其他操作和简单 CRUD 操作的视图。
当用户尝试执行某些操作时,每个索引都有其 JS 代码来操作视图。
在下图中,我显示了当我打开并检查时我现在可以在我的网站上看到的内容。
这个 JS 代码对每个人都是可见的,我的问题是我是否会受到某种攻击?
在生产中,我将混淆 *.js 文件。
在服务器端,我首先检查用户是否可以采取行动(基于当前的用户 ID)。
我只想知道我的方法是好是坏。

在此处输入图像描述 在此处输入图像描述

4

1 回答 1

3

只要您在服务器端验证请求,就不必担心。无法隐藏 JavaScript,因为您必须将其发送到客户端。混淆是可以逆转的。不过,您应该担心CSRF 攻击。可能没有人会费心对您的 JavaScript 代码进行逆向工程。一旦攻击者找到对您的操作发出有效请求的方法,他们就会尝试篡改数据或欺骗其他人发出他们不知道的请求。

于 2013-04-04T20:29:30.487 回答