Javascript 单页应用程序安全问题
我正在用Backbone.js开发一个单页应用程序,我在问自己一些问题 当我开发一个依赖于服务器上呈现页面的应用程序时,我知道如何显示某些部分,而不取决于用户是否是管理员(只是一个示例) 但是现在,我使用Backbone.js和下划线模板来创建视图。。。所以我可以制作一块饼干,上面写着。。。好啊是管理员,但无论如何,足够聪明的人可以更改cookie值。我能够解决这个问题,只要在服务器端创建一个允许用户这样做的检查 我考虑的另一个机会是向服务器索要这些具体的代码片段,然后将它们粘贴到正确的站点上 你觉得怎么样Javascript 单页应用程序安全问题,javascript,backbone.js,singlepage,Javascript,Backbone.js,Singlepage,我正在用Backbone.js开发一个单页应用程序,我在问自己一些问题 当我开发一个依赖于服务器上呈现页面的应用程序时,我知道如何显示某些部分,而不取决于用户是否是管理员(只是一个示例) 但是现在,我使用Backbone.js和下划线模板来创建视图。。。所以我可以制作一块饼干,上面写着。。。好啊是管理员,但无论如何,足够聪明的人可以更改cookie值。我能够解决这个问题,只要在服务器端创建一个允许用户这样做的检查 我考虑的另一个机会是向服务器索要这些具体的代码片段,然后将它们粘贴到正确的站点上
谢谢我对您的情况并不完全清楚,但一般来说:如果服务器泄露“机密”信息或允许受限操作,而没有验证自己允许用户查看/执行某些操作,这就是安全漏洞。身份验证必须以既定方式进行:用户登录服务器上的,并接收安全(足够)的令牌,例如会话cookie。然后,服务器只向客户端发送允许用户查看的信息,并且只允许用户执行操作
根据定义,客户端的任何东西都是不安全的。安全的仅客户端身份验证系统不存在。服务器不能接受客户的话,因为他是谁。在服务器无法验证的情况下,不必对客户端执行任何关键操作。好的,也许我解释得很糟糕(我的英语说得不好)。我正在使用会话cookie,但我不知道如何在一个页面中执行(所有操作都在客户端完成)为了根据userWell的角色呈现不同的模板,服务器正在以某种形式准备代码/信息,对吗?在服务器上,您需要像if(user==admin){output code to generate admin pages}else{…}这样的代码。如果客户端向服务器发出任何AJAX请求以请求信息,服务器需要检查凭据并仅在凭据正常时返回信息。我使用的是会话cookie,但我不知道如何在单个页面中执行(所有操作都在客户端完成)要根据用户的角色呈现不同的模板。。。