[問題] ajax權限的畫面問題

看板Ajax作者 (mic)時間4年前 (2019/05/02 20:41), 編輯推噓7(7020)
留言27則, 9人參與, 4年前最新討論串1/1
請教前輩們 關於ajax去跟後端索取資料來形成畫面 有幾個問題,想要請教一下 1.例如vue的時候會使用v-if 有可能被人直接在瀏覽器或者工具竄改js的程式碼 來顯示v-else的畫面嗎? 2.更安全的作法是不是使用在後端先將整個HTML所需要的HTML產生好 ajax只需要輸出顯示就好?就沒有v-if v-else的問題 3.像是SPA(Single Page Application) 大量使用js來讀取資料顯示 但js不是都是看得到的,這樣是不是網站相關的API URL都會被看到 目前爬文除了後端防範外,前端部分還有什麼機制可以使用? 有推薦的資料可以參考嗎? 謝謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.234.213.16 ※ 文章網址: https://www.ptt.cc/bbs/Ajax/M.1556800905.A.2A9.html

05/02 22:40, 4年前 , 1F
1. 如果你 v-if 判斷的條件可以改就可以做到你說的那樣,
05/02 22:40, 1F

05/02 22:40, 4年前 , 2F
例如使用全域變數來做判斷
05/02 22:40, 2F

05/02 22:41, 4年前 , 3F
2. 不是
05/02 22:41, 3F

05/02 22:42, 4年前 , 4F
3. 如你所說,前端的程式碼都看得到,那你要怎麼防範?
05/02 22:42, 4F

05/02 22:44, 4年前 , 5F
換我反問你,你現在的顧慮是什麼?
05/02 22:44, 5F

05/02 23:30, 4年前 , 6F
沒權限還拿的到資料是後端的問題吧
05/02 23:30, 6F

05/03 00:25, 4年前 , 7F
你可以用cookie來儲存使用者資訊,供後端判斷權限呀
05/03 00:25, 7F

05/03 00:25, 4年前 , 8F
~至於cookie的加密問題,是否又是另一個故事呢?
05/03 00:25, 8F

05/03 00:25, 4年前 , 9F
有請版上其他大大XD
05/03 00:25, 9F

05/03 08:46, 4年前 , 10F
所有權限相關的程式都應該由後端處理 這是基本安全概
05/03 08:46, 10F

05/03 08:46, 4年前 , 11F
念 前端理應只處理介面問題 使用者權限不足以讀取的
05/03 08:46, 11F

05/03 08:47, 4年前 , 12F
資料從一開始就不應該被後端傳送到前端
05/03 08:47, 12F

05/03 14:14, 4年前 , 13F
1.理論上後端不給你就不應該收到,v-else被解開也是空值
05/03 14:14, 13F

05/03 14:15, 4年前 , 14F
使用者從進入時(匿名、一般、admin),後端就會給權限
05/03 14:15, 14F

05/03 14:16, 4年前 , 15F
所以匿名者越權時(增修刪改),後端一定得要擋下來
05/03 14:16, 15F

05/03 15:06, 4年前 , 16F
有些js函式在沒相關權限的時候,根本就不該傳給前端
05/03 15:06, 16F

05/08 03:58, 4年前 , 17F
蘋果日報想要人家登入才能看新聞,可是又可以從前端破解
05/08 03:58, 17F

05/08 03:58, 4年前 , 18F
也是沒做好權限控管的意思?
05/08 03:58, 18F

05/08 03:59, 4年前 , 19F
讀者
05/08 03:59, 19F

05/08 07:38, 4年前 , 20F
那個是上面搞不懂硬要前端幹,又要SEO,又想逼讀者用app的
05/08 07:38, 20F

05/08 07:38, 4年前 , 21F
結果。不是權限問題。
05/08 07:38, 21F

05/08 07:38, 4年前 , 22F
然後最近好像蘋果家就在找新前端了。XD
05/08 07:38, 22F

05/08 20:10, 4年前 , 23F
蘋果那個找新前端有用嗎?只要會傳到前端一定有辦法
05/08 20:10, 23F

05/08 20:10, 4年前 , 24F
的不是嗎
05/08 20:10, 24F

05/09 13:28, 4年前 , 25F
可能是原本的受不了跑掉了吧
05/09 13:28, 25F

06/05 21:55, 4年前 , 26F
權限 - 前端擋介面 後端擋操作
06/05 21:55, 26F

06/05 21:56, 4年前 , 27F
cookie可以被改掉, 用session會好一點
06/05 21:56, 27F
文章代碼(AID): #1SokM9Af (Ajax)
文章代碼(AID): #1SokM9Af (Ajax)