0

我已经在一个大项目上工作了大约 4 个月。我们有一个我经常质疑的“线索”。

项目的规则(来自没有 IT 背景的客户)是

  1. 将仅使用 JavaScript(用于 CRUD 的 Kendo UI 包)。
  2. 它将通过 SSO - ADFSv2/ACS “保护”
  3. 它必须使用 Odata 与数据库进行交互。

如果我错了,请纠正我,但这并不意味着

  • A. 这显然是不安全的。(初次登录后)
  • B. 如果 Kendo 必须更新多个表,它甚至如何(正确地)处理数据库交互?

目前有另一位程序员正在从事类似的项目,他正在使用 Node.js 开发与数据库交互的 Web 应用程序。这不会遇到类似的问题吗?这个客户端 CRUD 如何安全且准确地工作?

4

1 回答 1

0

如果我错了,请纠正我,但在我看来,您认为 javascript 直接访问数据库。

我看到,Javascript 仅用于管理 UI,并联系(使用 Ajax?)服务器以更新/创建/删除实体。

这不是不安全的,但开发人员必须确保所请求的用户的操作是允许的(在服务器端)。

示例:对于 DELETE 请求的 URL like https://myServer/myApp/Person/1,用户可以修改此 URL likehttps://myServer/myApp/Person/6https://myServer/myApp/Work/1
因此必须验证用户是否可以删除 id=6 的 Person 或 id=1 的 Work。

于 2013-08-28T12:19:32.347 回答