为什么说页面端的数据验证不可靠

最新推荐文章于 2024-09-02 23:55:01 发布
原创 最新推荐文章于 2024-09-02 23:55:01 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文通过案例说明前端验证不可靠,强调后端验证的重要性。指出JS不应涉及数据与业务逻辑控制,并建议压缩JS及合理命名文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

之前一直没有注意这个问题,觉得在js中做过数据验证后就没有必要再在后端做数据合法验证了,今天拿一个页面测试后发现页面端的数据验证根本不可靠。

拿今天的例子来说,公司的业务是汽车租赁服务,后台管理网站中有个功能:一个城市下允许将一个门店所拥有的车型复制给另一个门店,当初的需求是不允许将一个门店的车型复制给这个门店本身,如图

对应的js:

这个时候我仅仅需要F12打开控制台,在控制台中删掉这段js代码保存,就可以执行这个违规操作。

好在这个网站只有内网可以连,我又在百度上搜索了一家旅游电商上市公司的官网,打开控制台后发现居然这个对外的官网js也是这种风格,阅读代码后发现页面的游客登录账号只要在js里修改了身份类型后就可以以正常身份登录进去。。。

我又翻了翻阿里巴巴、百度的一些网站后,总结以下几点:

第一,但凡跟数据、业务逻辑有关,都不要写在js里,js最好只控制交互不控制流程;

第二,养成压缩js的习惯,压缩后的js可读性会变差很多,尽管在别有用心的人面前作用不大,但多少能让一部分无聊的人打消一些无聊的主意;

第三,js文件的命名不要暴露功能,今天翻了不少网站,很多网站打开控制台就能看到诸如“login-index”之类的命名,里面各种身份验证方法甚至还写清楚注释告诉你某个字段的值为几的时候这个登录账号可以拥有什么类型的权限

最后再强调一下,永远别信任前端数据

隐人语
关注
参数校验(一)——前端校验
u012512634的专栏
08-10 2568
1.validate简介 2.基本用法 3.自定义校验方法 4.常见问题 4.1 更改error信息位置 4.2 级联校验 4.3 对checkbox、radio、select标签的验证 4.4 正则表达式 1.validate简介 ​  jQuery Validate 插件为表单提供了强大的验证功能,让客户端表单验证变得更简单,同时提供了大量的定制选项,满足应用程...
日常开发踩坑:前端数据可信
weixin_42028840的博客
07-05 1065
    在我们的日常业务开发中,和前端数据交互是必可少的,通常前端会将参数以json格式发送至后端进行逻辑处理,但是前端传来的数据真的可以直接拿来用吗?    本篇就针对这里的几个坑点为读者做科普和预警。1前端的计算结果能直接使用     在实际业务开发中,为了提高效率经常发生的情况是:对于一些运算直接在前端处理,然后把计算的结果传给后端,这个时候可能会有读者这么做:/**  * 订单类  */ @Re
可信数据定义
bigdalao的博客
06-15 4054
对所有的可信数据数据进行检验,拒绝任何没有通过检验的数据 文件(包括程序的配置文件) 注册表 网络 环境变量 命令行 用户输入(包括命令行,界面) 用户态数据(对于内核程序) 进程间通信(包括管道,消息,共享内存,socket,PRC) 函数参数(对于api) 全局变量(本函数内,其他线程会修改全局变量) 客户端,三方系统,外部接口 ...
关于客户端和服务器端数据验证的问题
笑着活下去
02-24 1558
记得以前学习struts1.3的时候,很明白,为什么要把验证放到服务器端,这样是会降低服务器的执行效率吗?当然,对于struts这样一个大型的开源组织来,会笨到这样.今天看来的确需要在服务器端采用这样的验证机制. 因为,如果仅在客户端利用JavaScript或其它脚本语言来编写的验证仅能对于一般用户.对于恶意用户是起作用的,我们可以想象一下,在做struts项目的时候,有个请求转发...
前端,滑块验证
xh1506101064的博客
07-22 943
工作需要前端验证, 就在网上找了一款插件 vue-drag-verify 样式蛮好看的,所以就选择了这个插件 安装依赖: npm install vue-drag-verify --save 代码部分: <template> <div> <el-button></el-button> <p> dksal; <i class="el-icon-arrow-right">&lt
文档页面检测数据集.zip
最新发布
07-30
2. 标注质量可靠:边界框标注经过严格校验,确保页面定位的准确性。 3. 场景覆盖全面:包含同光照条件、拍摄角度和背景复杂度的文档图像,增强模型泛化能力。 4. 即用性强:YOLO格式兼容主流深度学习框架(如YOLOv...
SpringMVC 数据校验实例解析
08-25
数据校验是软件开发中非常重要的一步骤,它可以帮助我们确保用户输入的数据是正确的和可靠的。在 SpringMVC 框架中,我们可以使用 Hibernate 的校验框架来完成数据校验。 首先,我们需要在 pom 文件中添加 ...
浅析JS中什么是自定义react数据验证组件
10-17
首先,了解什么是React数据验证组件是基础。React是一个用于构建用户界面的JavaScript库,由Facebook开发。它允许开发者以组件的形式构建页面,每个组件都可包含自己的状态和逻辑。而数据验证组件通常是用来对表单中...
BootStrap+Mybatis框架下实现表单提交数据重复验证
08-31
因为如果进行重复验证,可能会导致数据正确和完整,从而影响应用程序的可靠性和稳定性。 BootStrap+Mybatis框架下实现表单提交数据重复验证 在BootStrap+Mybatis框架下,实现表单提交数据重复验证可以通过...
失效页面对大数据分析.pptx
06-03
- **数据缺失**:失效页面导致的数据缺失会破坏数据集的完整性,影响后续分析的准确性和可靠性。 - **数据偏差**:被删除或丢失的数据可能会有同的分布或特征,造成分析结果失真。 #### 数据一致性破坏 - **数据...
common-tls-ssl::locked_with_key:使用TLSSSL的单向身份验证为API设置安全性以及同时使用Spring Boot的基于Java的Web服务器和客户端的相互交互身份验证的教程。 提供了同的客户端,例如Apache HttpClient,OkHttp,Spring RestTemplate,Spring WebFlux WebClient Jetty和Netty,新旧JDK HttpClient,新旧泽西岛客户端,Google HttpClient,Unirest,Retr
01-29
掌握两种方式的TLS :locked_with_key: 本教程将引导您完成通过TLS身份验证保护应用程序的过程,仅允许某些用户基于其证书进行访问。 这意味着您可以选择允许哪些用户调用您的应用程序。 此示例项目演示了服务器和客户端的基本设置。 服务器和客户端之间的通信是通过HTTP进行的,因此根本没有加密。 目的是确保所有通信都将被加密。 这些是以下步骤: 定义 身份:拥有密钥对的KeyStore,也称为私钥和公钥 信任库:包含一个或多个证书(也称为公钥)的密钥库。 此密钥库包含受信任证书的列表 单向身份验证(也称为单向tls,单向ssl):Https连接,客户端在其中验证对方的证书 两路认证(也称为两路tls,两路ssl,相互认证):客户端和对方验证证书的Https连接,也称为相互认证 有用的链接 一些历史 我主要使用Apache Http Client,因此最初仅使用来自Apache的http客户端创建了该项目。 一段时间后,我发现有更多的Java客户端,并且还有一些基于Kotlin和Scala的客户端。 配置ssl / tls可能很困难,每个客户端都需要同的设置。 我想
Curl调试工具win7/10无返回内容TLS1.1TLS1.2问题-易语言
06-11
Curl调试工具win7无返回内容TLS1.1TLS1.2问题 之前遇到的问题某网站win7系统网页访问(s,对象)返回空白问题 然后根据 https://bbs.125.la/forum.php?mod=viewthreadtid=14086625  安装了让 Winhttp 支持 TLS1.1/TLS1.2的补丁 结果有了返回结果,就在近期可能是因为网站更新还是系统导致突然就没有了返回内容,后经论坛求助得到了此办法完美解决。 没事闲着,特此写了个调试工具为那些无返回内容的系统或网页进行测试,(此工具无太大含量就是整合下) 杠精绕行,省着我骂你。 curl模块 https://bbs.125.la/forum.php?mod=viewthreadtid=14656988 json解析模块 https://bbs.125.la/forum.php?mod=viewthreadtid=13864334 精益模块 http://ec.125.la/ 以上某模块非必要只是用了其中某个功能, socks5的话理论应该好用,手里没有无法测试 请求类型只支持get和post等待有新的模块出来。
客户端可信,服务器端也要做验证
yanzhibo的专栏IlgawME)Y*Ml
02-22 4227
客户端验证能代替服务器端验证 用户可以直接向服务器发Http请求(比如直接在地址栏中构造请求数据,绕过客户端浏览器检查来干坏事。 客户端校验是为了很好的客户端体验,服务器端校验是最后一次把关,防止恶意请求。 一个都能少。jQuery Validator+服务器端校验是错的开发模式。 记住数据可以改哦 客户端藏起来、显示也一定安全。要轻信用户提交上来的数据: 比如控制
火狐浏览器--由于验证所收到的数据是否可信
热门推荐
可可的博客
03-02 1万+
dart packages about:config 搜索 security.tls.version.max ,双击修改为 3,重启。
规范-前、后台请求参数校验
chuanaiqi5565的博客
06-30 1213
1. 什么时候我们会前、后端校验? 正常情况下,前后端对于请求的参数都需要校验的,这能提高应用程序的稳定性、可维护性,而对于前后台如果能将这种可缺少校验规则汇总并制定一套规范,在每一个应用程序中都使用这种规范,能给带来少好处。那在哪些情况下适合使用前、后端校验了: 应用程序业务单...
淘宝大型数据仓库的治理(2)- 数据质量可靠
豹先生
10-16 1496
2013-08-26  阿里技术嘉年华 文/通贯 【导读】数据仓库治理系列文章,本文是第二篇,你可以回复数据仓库(当然需要先关注微信号alibabatech)查看整个系列。作者从实际经验中,总结出了一些大型数据仓库治理中,可能会遇到的问题。本文谈到了“数据质量可靠”的问题,大数据时代,你值得关注。       对于程序员来,最头疼的就是听到:“大兄弟,你这个程序有B
前台校验和后台校验
04-30 5740
前台的验证一般是通过Javascript,js代码是可以被禁用和篡改的,所以相对后台检验而言,安全性会低一些。 前台校验需要服务器返回数据的选项,例如密码为空啊,邮箱合法啊,但是也需要后台校验,例如用户名重复校验,必须提交后台查询数据库,返回是否重复。原则就是能前台JS校验的就前台校验,一来快捷,二来减少服务器的压力。 前台是用js校验的,性能比较好,但缺点是安全 后台
登录校验总结1.0
暮辰的博客
05-04 1038
所谓的登录校验:指的是在服务器端接收到浏览器发送过来的请求之后,首先要对请求进行校验,先检验一下用户登录了没有,如果用户登录了,就直接执行对应的业务操作;如果用户没有登录,此时就允许他执行相关的业务操作,直接给前端响应一个错误的结果,最终跳转到登录页面,要求他登录成功之后,再来访问对应的数据。什么是会话在日常生活中,会话就是谈话,交谈在web开发当中,会话指的是浏览器与服务器之间的一次连接在用户打开浏览器第一次访问服务器时,这个会话就建立了,直到任何一方断开连接,此时会话就结束了。
网络安全毕业实习实训Day6 总结
0101 0010 0000
09-02 1400
CSRF漏洞、SSRF漏洞学习;Pikachu——SSRF通关及漏洞分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值