|
锁定老帖子 主题:javascript入侵业务安全浅谈
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
|---|---|
| 作者 | 正文 |
|
发表时间:2007-11-12
没有js 也是有DOM;
有js,也是有DOM, 反正B/S表示层的本质工作都是在DOM上呈现 所以,JS/AJAX这个角度看只是控制UI的辅助手段,和安全没有直接联系。 |
| 返回顶楼 | |
|
发表时间:2007-11-13
但是js有能力破坏原有的DOM的Attribute、State、 Value。所以js就像把双刃剑。
|
| 返回顶楼 | |
|
发表时间:2007-11-13
总不能前台验证一次,后台验证一次,这个是js的硬伤了
|
| 返回顶楼 | |
|
发表时间:2007-11-13
后台验证是最基本的.基本可以说任何web请求都是不可信的,任何get post都是可以伪造的,所以s系统一定要是一个验证非常严谨的系统,而UI只不过是为了使用户更加快速知道自己输入的信息有误一种方法,不用等待一次一次提交后再修改数据的麻烦了,这才是b系统和s系统
|
| 返回顶楼 | |
|
发表时间:2007-11-14
afcn0 写道 后台验证是最基本的.基本可以说任何web请求都是不可信的,任何get post都是可以伪造的,所以s系统一定要是一个验证非常严谨的系统,而UI只不过是为了使用户更加快速知道自己输入的信息有误一种方法,不用等待一次一次提交后再修改数据的麻烦了,这才是b系统和s系统
正解,javascript是为了达到前台更加人性化的手段,后台验证才是基本。 |
| 返回顶楼 | |
|
发表时间:2007-11-14
但是目前也不能完全这么说,javascript的角色已经有点变化了,Ajax里面js可不是验证这么简单,已经变成客户端可以信赖的逻辑程序语言,拥有大量类库,所以很多人过度信赖js也是有原因的,但是验证说到底还是s系统的问题,只不过现在很多时候这个问题比较模糊,在大量复杂js操作下不容易发觉
|
| 返回顶楼 | |
|
发表时间:2007-11-14
标题党,鉴定完毕
|
| 返回顶楼 | |
|
发表时间:2007-11-17
可以根据项目需求而定,如果安全要求较高,就在js前端和s系统都作验证,一般情况下只要js验证就够了,ajax验证也是个不错的方式,但也不宜滥用。
|
| 返回顶楼 | |
|
发表时间:2007-11-17
spiritfrog 写道 可以根据项目需求而定,如果安全要求较高,就在js前端和s系统都作验证,一般情况下只要js验证就够了,ajax验证也是个不错的方式,但也不宜滥用。
前端非异步请求的JS验证,仅仅是为了第一时间告诉用户一些操作上的失误信息。如果完全放手到客户端脚本。而服务器端不错任何安全认证措施。我想这个系统不能称作是一个完善的系统。 |
| 返回顶楼 | |
|
发表时间:2007-11-18
up2vs 写道 前端非异步请求的JS验证,仅仅是为了第一时间告诉用户一些操作上的失误信息。如果完全放手到客户端脚本。而服务器端不错任何安全认证措施。我想这个系统不能称作是一个完善的系统。 非常认同up2vs的观点.支持 |
| 返回顶楼 | |
