为什么说页面端的数据验证不可靠

最新推荐文章于 2024-04-23 09:51:00 发布
最新推荐文章于 2024-04-23 09:51:00 发布
阅读量938 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YangWeiKe/article/details/88817966
版权

之前一直没有注意这个问题,觉得在js中做过数据验证后就没有必要再在后端做数据合法验证了,今天拿一个页面测试后发现页面端的数据验证根本不可靠。

拿今天的例子来说,公司的业务是汽车租赁服务,后台管理网站中有个功能:一个城市下允许将一个门店所拥有的车型复制给另一个门店,当初的需求是不允许将一个门店的车型复制给这个门店本身,如图

对应的js:

这个时候我仅仅需要F12打开控制台,在控制台中删掉这段js代码保存,就可以执行这个违规操作。

好在这个网站只有内网可以连,我又在百度上搜索了一家旅游电商上市公司的官网,打开控制台后发现居然这个对外的官网js也是这种风格,阅读代码后发现页面的游客登录账号只要在js里修改了身份类型后就可以以正常身份登录进去。。。

我又翻了翻阿里巴巴、百度的一些网站后,总结以下几点:

第一,但凡跟数据、业务逻辑有关,都不要写在js里,js最好只控制交互不控制流程;

第二,养成压缩js的习惯,压缩后的js可读性会变差很多,尽管在别有用心的人面前作用不大,但多少能让一部分无聊的人打消一些无聊的主意;

第三,js文件的命名不要暴露功能,今天翻了不少网站,很多网站打开控制台就能看到诸如“login-index”之类的命名,里面各种身份验证方法甚至还写清楚注释告诉你某个字段的值为几的时候这个登录账号可以拥有什么类型的权限

最后再强调一下,永远别信任前端数据

隐人语
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于HTML实现表单提交后不刷新页面
09-28
在网页开发中,为了提供更好的用户体验,经常需要在用户提交表单后不刷新整个页面,而是仅更新必要的部分。这通常通过使用AJAX(异步JavaScript和XML)或IFRAME技术来实现。以下是两种基于HTML实现表单无刷新提交的...
前端技术演进(三):前端安全
dzqxwzoe的博客
01-03 820
这个来自之前的培训,删减了一些业务相关的,参考了很多资料(Web前端安全方面涵盖的内容较多,也是前端项目开发中必须要关注的一个重要部分。在Web站点开发中,如果没有很好的安全防护措施,不仅可能因为攻击者的恶意行为影响站点页面功能、泄露用户投权隐私,甚至还可能会直接带来用户经济上的损失。安全当然不只是前端的事情,这里主要介绍和前端相关的一些安全知识。
前端,滑块验证
xh1506101064的博客
07-22 835
工作需要前端验证, 就在网上找了一款插件 vue-drag-verify 样式蛮好看的,所以就选择了这个插件 安装依赖: npm install vue-drag-verify --save 代码部分: <template> <div> <el-button></el-button> <p> dksal; <i class="el-icon-arrow-right">&lt
所有来自前端数据都是“不可信”的 : 浅谈前端代码加密
最新发布
2301_79099480的博客
04-23 578
前端CSS面试题文档,JavaScript面试题文档,Vue面试题文档,大厂面试题文档,需要的读者可以戳这里免费领取!图片转存中…(img-Baf0DsWI-1713836983903)]由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!如果你觉得这些内容对你有帮助,可以扫码获取!!(备注:前端)[外链图片转存中…(img-ntjjFQfX-1713836983903)]
规范-前、后台请求参数校验
chuanaiqi5565的博客
06-30 1075
1. 什么时候我们会前、后端校验? 正常情况下,前后端对于请求的参数都需要校验的,这能提高应用程序的稳定性、可维护性,而对于前后台如果能将这种不可缺少校验规则汇总并制定一套规范,在每一个应用程序中都使用这种规范,能给带来不少好处。那在哪些情况下适合使用前、后端校验了: 应用程序业务单...
参数校验(一)——前端校验
u012512634的专栏
08-10 2384
1.validate简介 2.基本用法 3.自定义校验方法 4.常见问题 4.1 更改error信息位置 4.2 级联校验 4.3 对checkbox、radio、select标签的验证 4.4 正则表达式 1.validate简介 ​  jQuery Validate 插件为表单提供了强大的验证功能,让客户端表单验证变得更简单,同时提供了大量的定制选项,满足应用程...
关于客户端和服务器端数据验证的问题
笑着活下去
02-24 1491
记得以前学习struts1.3的时候,很不明白,为什么要把验证放到服务器端,这样不是会降低服务器的执行效率吗?当然,对于struts这样一个大型的开源组织来,不会笨到这样.今天看来的确需要在服务器端采用这样的验证机制. 因为,如果仅在客户端利用JavaScript或其它脚本语言来编写的验证仅能对于一般用户.对于恶意用户是不起作用的,我们可以想象一下,在struts项目的时候,有个请求转发...
SpringMVC 数据校验实例解析
08-25
数据校验是软件开发中非常重要的一步骤,它可以帮助我们确保用户输入的数据是正确的和可靠的。在 SpringMVC 框架中,我们可以使用 Hibernate 的校验框架来完成数据校验。 首先,我们需要在 pom 文件中添加 ...
BootStrap+Mybatis框架下实现表单提交数据重复验证
08-31
因为如果不进行重复验证,可能会导致数据的不正确和不完整,从而影响应用程序的可靠性和稳定性。 BootStrap+Mybatis框架下实现表单提交数据重复验证 在BootStrap+Mybatis框架下,实现表单提交数据重复验证可以通过...
Android-JJEvent一个可靠的Android端数据埋点SDK
08-13
JJEvent是一款专为Android平台设计的数据埋点SDK,它提供了可靠且高效的方式来收集用户在应用程序中的行为数据。这款SDK经过了深入的测试和实际线上环境的验证,确保了其稳定性和准确性,对于开发者来,是进行用户...
2023 年房价数据集(包含属性、位置和页面
10-17
这些URL可以帮助研究人员验证数据可靠性,进一步探索房屋的详细信息,如照片、描述和用户评价。有时,通过网页抓取技术,可以从这些URL中提取更多数据,比如房屋的实时状态(是否已售出)和更新信息。 在数据集的...
火狐浏览器--由于不能验证所收到的数据是否可信
可可的博客
03-02 9743
dart packages about:config 搜索 security.tls.version.max ,双击修改为 3,重启。
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
06-28 8023
Firefox开启TLS 1.1支持。
不安全的前端
雪比图
02-22 3633
尽管是众所周知的事实,但作为不相关人士还是要吐槽的。 在写文档的时候发现像飞书这样的软件提供了文档保护的功能,于是非常惊讶,因为我想不出来如何保护一个已经传输给对方并且主动破解完毕的数据不让对方获取并破解,于是就开始了测试。 首先第一步自然是ctrl+s,保存前端内容,获得一个html文件与文件夹用于保存js脚本与素材。然后打开html文件,发现内容真的消失了,真神奇,但是,是真的消失了么?ctrl+f搜索数据,原来字节的员工只是把这些数据挡住了而已... emm,到底像文档这种东西,除非包括硬件在
不可信数据定义
bigdalao的博客
06-15 3742
对所有的不可信数据数据进行检验,拒绝任何没有通过检验的数据 文件(包括程序的配置文件) 注册表 网络 环境变量 命令行 用户输入(包括命令行,界面) 用户态数据(对于内核程序) 进程间通信(包括管道,消息,共享内存,socket,PRC) 函数参数(对于api) 全局变量(本函数内,其他线程会修改全局变量) 客户端,三方系统,外部接口 ...
客户端不可信,服务器端也要验证
yanzhibo的专栏IlgawME)Y*Ml
02-22 4131
客户端验证不能代替服务器端验证 用户可以直接向服务器发Http请求(比如直接在地址栏中构造请求数据,绕过客户端浏览器检查来干坏事。 客户端校验是为了很好的客户端体验,服务器端校验是最后一次把关,防止恶意请求。 一个都不能少。jQuery Validator+服务器端校验是不错的开发模式。 记住数据可以改哦 客户端藏起来、不显示也不一定安全。不要轻信用户提交上来的数据: 比如控制
火狐浏览器开启TLS1.1
Coder_C9的博客
08-20 9815
火狐浏览器开启TLS1.1,访问出现“建立安全连接失败,对等端使用了不支持的安全协议版本......此网址可能不支持TLS1.2协议”
【无标题】虚拟机上火狐浏览器无法访问百度 怎么破?
weixin_51501276的博客
12-16 2705
建立安全连接失败 连接到 www.baidu.com 时发生错误。您正试图导入一个与已存在证书相同颁发者和序列号但却不相同的证书。 错误代码:SEC_ERROR_REUSED_ISSUER_AND_SERIAL 由于不能验证所收到的数据是否可信,无法显示您想要查看的页面。 建议向此网站的管理员反馈这个问题。 详细了解… ...
Struts2输入校验流程:客户端与服务器端双重保障
这个过程中,服务器端校验起到了第二道防线的作用,防止恶意用户绕过客户端验证。 5. **输入校验的分类**:Struts2支持客户端和服务器端两种输入校验方式。客户端校验通过JavaScript在浏览器中进行,可以快速反馈...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值