【发布时间】:2020-10-02 17:41:16
【问题描述】:
我刚刚从某些浏览器附带的开发人员工具中了解到可以操作网站的前端代码。现在,我的问题是,如果有人可以根据需要操纵我的 js、HTML 和 CSS 代码,并且能够向我的网络服务器发送请求,那么服务器是否会接收并处理该请求作为经过身份验证的请求。让我举一个合适的例子:
假设我创建了一个使用 ajax 从我的网络服务器检索一些信息的表单,在表单中我有一个隐藏的输入,其中包含确定将要显示的信息的数字(例如 1 应该为 1 级用户显示信息, 2 应该显示 2 级用户的信息)。隐藏输入的默认值为 1,现在如果用户(级别 1)能够在发送前调整前端代码并将值设置为 2,他是否会收到级别 2 的信息。
如果可能的话,我怎样才能防止这种事情发生,或者处理这种情况的标准程序是什么?
【问题讨论】:
标签: security authentication frontend developer-tools