0

IPではなく、自分のWebページへの特定のユーザーに厳密なアクセスを許可できるようにしたい。しかし、JavascriptとHTMLを介して。

セキュリティ文字列を取得するのはどれくらい簡単ですか?

function fc4me(srvstr) {

   if(!document.pleazfc4me.email.value || !document.pleazfc4me.securitystring.value) {
      alert("Please fill in all the required fields!");
      return false;
   }
   if(document.pleazfc4me.securitystring.value != hexMD5("\x73\x73"+srvstr)) {
      alert("Registration Authorization String not accepted! Try Harder! ");
      return false;
    } else {
      document.pleazfc4me.submit();
    }

}

と他のページ?

Security String<font color="orange">*</font>:
<input type="text" name="securitystring" size="35">
<input onClick="var srvstr='foo';fc4me(srvstr);document.pleazfc4me.securitystring.value='';return false;" name="submit" type="image" src="images/button-submit.png" />
4

4 に答える 4

1

ソースコードを表示するほど頭がよくない人だけが安全です。JavaScript をオフにすると、フォームが送信されます。

于 2012-12-17T02:47:12.883 に答える
1

クライアント側で何かをすることは安全ではありません認証のためにサーバー側のチェックが必要です。

于 2012-12-17T02:48:36.583 に答える
1

それは問題ではありません。document.pleazfc4me.submit();コンソールで、チェックを完全にバイパスします。

簡単に JS を完全にオフにすることができ、フォームはデフォルトの動作として送信されます。

必要なだけ難読化を使用できますが、サーバー側のコードで何らかのチェックを行って権限のないユーザーを拒否しない限り、誰でもこれを回避できます。

于 2012-12-17T02:49:14.153 に答える
0

JavaScript で行っていることは、フィールドの検証にすぎず、実際にはページのセキュリティを強化するものではありません。リクエストの処理を開始する前に、送信先のページのパラメーターをいつでも確認できます。往復の時間が短縮されます。

同じページ自体にメッセージを表示したい場合は、AJAX を使用してフィールドを検証することもできます。

于 2012-12-17T03:22:52.970 に答える