网站访问者是否可以更改AngularJS属性名称?
我在后端有一个函数,它依赖于使用AJAX和AngularJS发送的对象的属性名称。用户可以使用调试工具更改属性名称,从而改变我通常在后端期望的内容吗?我想这样做如果可能的话也会影响整个应用程序。网站访问者是否可以更改AngularJS属性名称?
我想这就像有人使用调试工具来更改表单上的名称属性,然后提交它。所以我很想知道这是否应该记住AngularJS。我希望这是有道理的。
如果用户足够聪明,他或她可以使用浏览器带来的开发人员工具更改大部分内容。更重要的是,如果后端端点是已知的,则很容易用自定义数据模拟自定义请求。
您应始终验证请求,因为所有不是直接来自代码的内容都可能导致安全性中断。
Ajax的一大缺点是它的请求很容易使用开发工具进行调试,如果设计不正确,会暴露内部结构。
*“The Ajax的一大缺点是它的请求很容易被调试“* - 等等,这是否是一个缺点? :P –
@TobiaTesan哈,是的,根据主题的背景,这是一个缺点;)从开发的角度来看,它有优点和缺点。 – Kamo
开玩笑说,如果这对你来说是一个负面影响,那么你可能在故意或不知情的情况下依赖于模糊处理的安全性,而且你的设计非常糟糕。正如你所说的,用户输入*永远不会被信任,AJAX调用就是这样:) –
可能重复的[JavaScript:客户端与服务器端验证](http://stackoverflow.com/questions/162159/javascript-client-side-vs-server-side-validation) –