js根据php生成的js变量a=1表示有某种动作的权限,这样安全吗

WBOY
Libérer: 2016-06-23 14:04:31
original
951 Les gens l'ont consulté

js根据php生成的js变量a=1表示有某种动作的权限,这样安全吗?
比如ajax请求后台某种动作,得到php生成的js变量 var permission=1;
然后前台js根据这个permission去执行某种操作。


回复讨论(解决方案)

问题不大,如果担心有问题可以加一些验证。

js根据php生成的js变量a=1表示有有 某种动作的权限,这样安全吗?
比如ajax请求后台某种动作,得到php生成的js变量 var permission=1;
然后前台js根据这个permission去执行某种操作。
              
                  ajax
                  权限
              
 …… 你这样做问题不大,很多网站的注册就是通过ajax的方法来返回信息给页面的。
不过我还是建议在: 有某种动作的权限的时候在动作做做权限判断,毕竟js验证在客户端,谁知道会有神马问题呢。

为什么不安全?
ajax 不能跨域,所以指令只能来自你自己的服务器
如果你连自己的服务器都不信任了,那还有什么搞头?

如果在页面伪造一个全局变量var permission=1;
那然后前台js根据这个permission去执行某种操作。

这样是否可行

是谁伪造呢?

如果在页面伪造一个全局变量var permission=1;
那然后前台js根据这个permission去执行某种操作。

是谁伪造呢?

引用 4 楼 nowphp 的回复:
如果在页面伪造一个全局变量var permission=1;
那然后前台js根据这个permission去执行某种操作。

我知识面比较少,也不知道前端的JS会不会被黑客改写,比如我var a = 'xx';  他能不能将我的脚本代码强行改成  var a = 'yy';  什么的,如果不能的话那么就只剩下黑客自己制作的页面提交JS变量了

但你上面提到AJAX无法跨域我就安心了,然而实际上我却百度到好多ajax跨域提交的相关文章,那请问是怎么回事呢?

可以这么做。
但"根据这个permission去执行某种操作",这个也需做好权限判断。

毕竟js客户端可以修改。

加密 解密...

涉及到安全问题的数据都要考虑这个问题.几乎任何时候我们都不要信任从客户端发送回来的数据.

source:php.cn
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal