防止使用唯一的Javascript对.html站点进行未经授权的访问
我是web开发的初学者。 我只使用HTML、CSS和Javascript创建项目。 我的任务是创建登录页面和主页,但用户只有在登录后才能访问主页。 后端是数据库连接器脚本、登录脚本和检查用户所记录的脚本 在用户打开主页面之前,脚本将创建一个请求并以以下格式从脚本获取响应:防止使用唯一的Javascript对.html站点进行未经授权的访问,javascript,security,authentication,Javascript,Security,Authentication,我是web开发的初学者。 我只使用HTML、CSS和Javascript创建项目。 我的任务是创建登录页面和主页,但用户只有在登录后才能访问主页。 后端是数据库连接器脚本、登录脚本和检查用户所记录的脚本 在用户打开主页面之前,脚本将创建一个请求并以以下格式从脚本获取响应: { "logged": true, "uid": 123456 } 我解析JSON,如果logged为false我将使用window.location.repla
{
"logged": true,
"uid": 123456
}
我解析JSON,如果logged为false我将使用window.location.replace()
重定向到登录页面
这种方法是否会阻止用户在未登录时打开主页
我这样问是因为客户端可以在web浏览器中修改Javascript文件
我知道在PHP中使用位置头来创建它更容易,而且客户端无法修改它,但我不能这样做
我这样问是因为客户端可以在web浏览器中修改Javascript文件
不是真的。但是,是的,像您描述的那样的检查很容易在客户端绕过
规则是这样的:如果用户未经授权和身份验证,则任何不应该对其可见的内容都不能发送给客户端,除非已提供身份验证。因此,服务器必须允许或不允许从服务器请求“主页”,并且提供不可缓存的服务
通常,页面本身并没有受到保护,但页面上显示的信息却受到保护。例如,页面是脚手架和布局等,但它显示的受保护信息是使用ajax或类似工具提供的,并且只有在用户经过身份验证时才提供。因此,当我尝试使用用户数据显示示例表(仅针对登录用户)时,但我在PHP脚本中进行了保护,当用户未登录时,它无法做出响应。这是一个好方法吗?但是导航栏、标题和页面上其他不重要的东西是可见的。@Adrian27045-基本上,是的。你可以保护那些泄露信息的部分,这些信息如果没有登录,别人是不会看到的。