关于前端用模板引擎渲染,会不会泄露敏感什么敏感信息呢?

2019-12-15 23:41:04 +08:00
 gebishushu
我用的这个模板引擎,是写在 js 的,比如判断对象里的 state 是 0 的话渲染 可以正常下单,判断 state 是 1 的话 渲染 不可以下单
那么会不会有人通过开发者工具去判断然后把 state 改为 1,然后提交数据呢?

还有就是用模板引擎去做,登录,如果 login=0 未登录 如果 login =1 登录,然后右上角的注册和登录会变为 头像和我的

这样搞会不会有什么敏感信息泄露呢?

新人问题,请多包涵,谢谢
1441 次点击
所在节点    问与答
9 条回复
billwsy
2019-12-15 23:45:36 +08:00
要不拿开发者工具试一试?
codehz
2019-12-15 23:48:15 +08:00
说的好像传统方案就不能 hack 了一样
只要你服务端不验证,前端怎么保密都没啥效果。
前端渲染用的是 API,你 API 做好鉴权,哪里来的问题。
要说问题吧,那也是 SEO 的事情,不过既然都要登陆了,说明肯定不是给搜索引擎爬虫看的内容(当然对于其他类型的爬虫,提供 API 会更方便获取数据就是了,这就是为啥要做好接口校验)
murmur
2019-12-15 23:50:07 +08:00
那是后端要考虑的事情,什么东西都无脑 bean 序列化带出 password、idcard 这些东西也不稀奇
weixiangzhe
2019-12-16 00:09:46 +08:00
别想啦 直接调你接口就好 那需要过前端
opengps
2019-12-16 00:27:16 +08:00
你这个缺陷必然不安全,有种说法是,前端所有数据都不可信,说的就是可随意构造
gebishushu
2019-12-16 00:51:20 +08:00
@codehz
@murmur
@weixiangzhe
@opengps 感谢各位回复

我这个 API,没做鉴权 用的是 session,当用户第一次登录,插个 session,然后后面的就可以正常操作了
没搞 token 那个
opengps
2019-12-16 08:03:16 +08:00
模拟提交不可怕,可怕的是构造的数据会出现正常业务之外的结果。比如张三没拿到李四的登录密码,但是却能给李四修改了业务数据。现在的很多系统,几乎全都是拿到密码就能操纵大部分业务的状态,从系统角度讲,安全超过密码丢失范围就已经算是安全了
shintendo
2019-12-16 09:34:35 +08:00
前端是客户端,客户端就是在用户完全掌控之下的,所以不要想着在前端阻止用户做什么
gebishushu
2019-12-16 13:13:07 +08:00
@opengps 对,我特别担心这个问题,因为我是个后端,前端真是很菜,这项目还没办法必须用前后端分离结果就造成了我的担心,前端我用的 layui 框架解决的,毕竟简单嘛!
@shintendo

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/629307

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX