0

Backbone.js を使用して単一ページのアプリを開発していますが、自分自身に質問をしていました。

サーバー上のレンダリングページに依存するアプリを開発している場合、ユーザーが管理者であるかどうかに応じて、一部の部分を表示する方法または表示しない方法を知っています(単なる例)。

しかし今、私は Backbone.js とアンダースコア テンプレートを使用してビューを作成しています。クッキーの値を変更するだけです。サーバー側でユーザーが許可されていることを確認するだけで解決できます。

私が考えている他のチャンスは、サーバーにこの具体的なコードを要求し、それらを適切なサイトに貼り付けることです

どう思いますか?

ありがとう

4

1 に答える 1

2

あなたのシナリオは私には完全には明らかではありませんが、一般的には、サーバーが「秘密」の情報を漏らしたり、ユーザーが何かを見たり何かをしたりできることを確認せずに制限されたアクションを許可した場合、それはセキュリティホールです。認証は、確立された方法で行う必要があります。ユーザーはサーバーにログインし、セッションCookieなどの安全な(十分な)トークンを受け取ります。次に、サーバーは、ユーザーが表示できる情報のみをクライアントに送信し、ユーザーが実行できるアクションのみを許可します。

クライアント側は、定義上、常に安全ではありません。安全なクライアント側のみの認証システムは存在しません。サーバーは、クライアントが誰であるかをクライアントの言葉で表現してはなりません。サーバーがそのアクションを検証できない限り、クライアントで重要なアクションを実行する必要はありません。

于 2012-08-30T14:03:56.330 に答える