我创建了一个外部 config.json 文件,用于 Vue js 应用程序,然后我在代码中访问该文件。我想防止在浏览器中直接访问该文件(例如,http://thesite.com/config.json)。如果我使用 IIS 请求过滤来阻止访问 .json 文件,它可以解决浏览器访问问题,但 Vue 应用程序在尝试访问它时也会收到 404。有没有办法让 Vue 应用程序访问该文件并允许服务器管理员更改其内容,但阻止最终用户直接在浏览器中访问它?
【问题讨论】:
不,Vue 应用程序在客户端运行代码,并且需要像浏览器一样访问文件。如果您不想通过 HTTP 公开文件,则需要在服务器端运行代码。
【讨论】:
您不应该通过默默无闻来依赖安全性。
您为什么要阻止访问此config.json 文件?
如果它要被 Vue 客户端访问,它必然会被确定的用户访问。
公共客户端本质上是不安全的,只要配置文件的内容存在于客户端或通过网络传输到客户端,再多的混淆也无法阻止必然确定的攻击者访问配置文件的内容。
确保没有公共用户可以访问config.json 文件内容的唯一方法是完全在服务器端处理它并在那里处理需要用它完成的操作。
任何触及客户端的东西,无论多么隐藏或混淆,您都应该认为是可访问的。
【讨论】: