【发布时间】:2017-08-31 08:53:42
【问题描述】:
我正在开发一个电子商务网站,用户可以在其中选择主要产品以及每个产品的一些额外配件。同时计算总价(主要产品+配件)以显示给用户。
现在我将产品价格、单个配件价格和总价格存储在隐藏的 html 输入标签中,但可以从检查窗口轻松访问。
如何让它更安全?
【问题讨论】:
-
不,你不能从客户端保护它,而是你需要在服务器端处理你的计算
-
别担心,没有人能以这个价格做任何事情!
-
为什么重要?它只是用户看到的,它不应该影响您的后端。在后端,你应该计算最终价格,永远不要在前端 :)
-
有些人弄乱了我的系统并更改了我将其传递给支付网关的产品总量
-
在这种情况下,不要将该值从客户端直接传递到网关。在传递之前使用服务器对其进行检查。您应该能够从您的数据库中检索和/或得出正确的价格,而不是依赖于客户发送的内容。客户端上没有什么是安全的。每个人的浏览器都是一个成熟的 IDE。您甚至不一定需要浏览器才能弄得一团糟。像 Postman 这样的东西可以完成这项工作,具体取决于相关应用程序的设计糟糕程度。
标签: javascript php html