我在一个应用程序中使用 jQuery,该应用程序通过 .click() 绑定注册用户单击以执行给定操作,并且我希望此功能仅通过用户鼠标按下可用。我的一位朋友今天指出,可以从 Firebug(或类似的东西)中的 javascript 终端运行 $(element).click(),并实现与单击元素相同的功能——我想要避免。关于如何去做这件事的任何想法?感谢您的意见。
【问题讨论】:
标签: javascript jquery html security web-applications
简答:不,你无法真正阻止它。
长答案:任何像click event 这样的事件都绑定到Event handlers。这些处理程序是functions,在给定事件发生时执行。因此,如果您单击一个元素,您的浏览器会检查是否有任何event handlers 绑定到它,如果是,则检查fires 它们。如果没有,浏览器将尝试将bubble up 事件发送到parent elements,再次检查是否有任何event handlers 绑定到该事件......等等。
jQuerys .trigger() 方法(例如,如果调用 .click(),您实际调用的方法)只是做同样的事情。它针对特定事件调用绑定到特定元素的event handlers。
编辑
可能有一些简单的方法可以让soft detect 真正点击,例如,您可以检查event object 中的toElement 属性。 triggered 时未设置该属性。但是话又说回来,您也可以使用.trigger() 轻松伪造它。示例:
$(document).ready(function() {
$('#invalid2').bind('click', function(e){
alert('click\nevent.target: ' + e.toElement.id);
console.log(e);
});
$('#invalid1').bind('click', function(){
$('#invalid2').trigger({
type: 'click',
toElement: {id: 'Fake'}
});
});
});
工作示例:http://www.jsfiddle.net/v4wkv/1/
如果您只调用$('#invalid2').trigger('click'),toElement 属性将不存在,因此会失败。但正如您所见,您可以在event object 中添加任何内容。
【讨论】:
您可以检查事件对象(作为第一个参数传递给处理程序)originalEvent。 如果事件是通过.click()模拟的,它将是未定义的
但这完全没用。您不能使用 javascript 来确保安全 - 客户端可以完全控制它(firebug 控制台只是最明显的工具)。客户端安全检查应该只是提示用户和防止错误,恶意输入只能在服务器端停止。
【讨论】:
你真的不能对它做任何事情,也可以编写完整的函数然后触发它。
但为什么这是个问题?如果有人在客户端更改某些东西,它只会影响他。或者你想检查一些数据?这必须始终在后端完成,因为您永远无法确定真正发送给它的是什么。
【讨论】:
你想阻止什么?有人在弄乱您的客户端脚本?你可以做一些事情,比如混淆你的代码,但除此之外别无他法。但即使这样做也只会让事情变得比我认为的价值更麻烦。
如果您不希望人们做某些事情,请将功能移至服务器。
很抱歉带来坏消息。
【讨论】: