【发布时间】:2020-05-08 18:20:15
【问题描述】:
我一直在研究如何安全地生成/加载/附加元素。
在我的项目中,有一个管理面板只有在管理员用户登录时才应该加载(在主网站/页面中)。
从我环顾四周,人们说客户端无法访问 .php 文件(我认为响应除外),所以在身份验证方面,我没有问题。
但是,例如,在 AJAX 请求返回“true”后,我的 .js 文件将包含代码,以便附加或加载所需的代码。由于 Javascript 会显示给客户端,因此恶意用户只需快速查看一下,看看他必须注入什么才能访问此面板(我认为这对于有经验的黑客来说很容易)。
如何向客户隐藏这些信息?是否可以使用某种加密或其他方式来加载元素?
P.S:我知道创建管理页面可能比将其包含在主网站中更安全,但请记住,这是我最后的手段。
【问题讨论】:
标签: javascript php security web admin