編輯:在單頁應用程式中,所有靜態內容都加載到 SPA 中,因此如果靜態內容中有任何遠程敏感內容,則可以從瀏覽器中查看。唯一的解決方案是不使用 SPA 并從服務器端呈現授權頁面,如果這些頁面需要模型視圖 AJAX JS 控制器,請不要在控制器代碼中公開任何敏感內容,因為這也將是靜態的。
我研究了 VueRouter 的代碼并閱讀了其他幾個示例,這些示例使用防護和預檢查來執行身份驗證(通過 cookie 或會話資料令牌)以阻止某些路由,除非用戶獲得許可。
我不明白這怎么安全?VueRouter 示例屏蔽了dashboard 頁面,但是我可以在瀏覽器除錯控制臺中逐字查看所謂的“阻塞”頁面,然后在源面板中編輯JavaScript 以通過洗掉requireAuth 函式中的檢查并替換來繞過授權與“下一個()”。
我顯然遺漏了一些東西,但是如果可以在瀏覽器中查看/編輯內容和 javascript,這如何成為授權網站部分內容的有效方法?
uj5u.com熱心網友回復:
保護您的應用程式應該在后端完成,因為您可以完全控制該機器。正如您明確所說,VueRouter 通常用于根據身份驗證和授權顯示/隱藏 UI 元素。您必須始終假設任何人都可以在其本地機器上讀取和修改您的前端。
需要明確的是,無論您使用 Vue、React 還是任何其他前端框架,都必須在后端應用安全性。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qianduan/368056.html