【发布时间】:2021-11-20 16:34:00
【问题描述】:
编辑:在单页应用程序中,所有静态内容都加载到 SPA 中,因此如果静态内容中有任何远程敏感内容,可以从浏览器中查看。唯一的解决方案是不使用 SPA 并从服务器端呈现授权页面,如果这些页面需要模型视图 AJAX JS 控制器,请不要在控制器代码中公开任何敏感内容,因为这也将提供静态服务。
我研究了 VueRouter 的代码并阅读了其他几个示例,这些示例使用警卫和预检查来执行身份验证(通过 cookie 或会话数据令牌)以阻止某些路由,除非用户获得许可。
我不明白这怎么安全? VueRouter示例阻塞了dashboard页面,但是我可以在浏览器调试控制台中逐字查看所谓的“阻塞”页面,然后在源代码面板中编辑JavaScript绕过授权,通过删除requireAuth函数中的勾选并替换使用“下一个()”。
我显然遗漏了一些东西,但是如果可以在浏览器中查看/编辑内容和 javascript,那么这是一种授权您网站部分内容的有效方法吗?
【问题讨论】:
标签: vue.js security vue-router