在控制台中隐藏AJAX控制器调用
问题描述:
我正在开发基于Spring MVC的应用程序(使用tile作为视图解析器)。在控制台中隐藏AJAX控制器调用
该应用程序有一些下拉列表,其中填充了从数据库中提取的值。
下拉列表
<form:select id="idServiceUnit" path="serviceUnit" multiple="multiple"></form:select>
AJAX调用到控制器(包含在一个单独的JS文件)
jq.ajax({
url: "/MRYWeb/getServiceUnitLookUp",
context: document.body,
success: function(data){
jq("#idServiceUnit").addOption(data,{},false,{},{});
jq("#idServiceUnit").multiselect({
noneSelectedText:"Select",
selectedList: 3,
height:150,
minWidth:195,
beforeclose:function(){
fnCustomizedTextForMultiSelect('idServiceUnit');
}
}).multiselectfilter();
}
});
/MRYWeb/getServiceUnitLookUp是控制器的相对URL返回一个列表,以填充下拉菜单
它工作正常,但是当我加载页面时,萤火虫实际拦截了URL
http://i.minus.com/ieYZJj8eC6jlr.JPG
以及拦截js文件调用
http://i.minus.com/ibkGiljg3dpXUl.JPG
我们的客户认为这是一个安全隐患。所以任何人都可以通过给我想法隐藏这些URL或隐藏js调用本身来帮助我?
答
这是网络我的朋友。这是一个安全风险,但你可以摆脱这种困境的唯一方法是从互联网上下来。向他展示他的银行网站,阿贾克斯电话也在那里...
答
我们的客户认为这是一个安全风险。
该URL允许访问您要显示给用户的数据。在格式化之前查看数据对他们来说不是安全风险。
只要确保您不发送需要保密的数据,并且您只在将数据发送给某些用户时才执行授权&授权。
所以任何人都可以帮我通过给我想法隐藏这些URL或隐藏js调用自己?
你不行。
浏览器属于用户,而不是网络作者。如果你问他们的浏览器做些什么,那么他们能够看到它(并停止或改变它)。
我不认为它的安全风险。如果你不允许,ajax调用不能跨域进行。它的工作方式。一旦在客户端,您无法隐藏任何内容。 – Jashwant 2012-07-24 09:38:22