1. 首頁
  2. 問答
  3. 是我的JavaScript安全

是我的JavaScript安全

2012-06-19 35 views
0

一些人能有多少改變一個javascript攔截後的參數,以破解或missplay是我的JavaScript安全

function search(tableEvent) 
     { 
      clearResults() 
      document.getElementById('loading').style.display = 'block'; 
      var params = 'formAction=SearchInterviewNomineesCent'; 
      params += '&reqNo=${param.reqNo}'; 
      params += '&reqSeq=${param.reqSeq}'; 
      params += '&reqClass=${param.reqClass}'; 
      params += '&reqYear=${param.reqYear}'; 
      params += '&relatedReqYear=${param.relatedReqYear}'; 
      params += '&relatedReqSeq=${param.relatedReqSeq}'; 
      params += '&relatedReqNo=${param.relatedReqNo}'; 
      params += '&relatedReqClass=${param.relatedReqClass}'; 
      params += '&tableEvent=' + tableEvent; 
      createXmlHttpObject(); 
      sendRequestPost(http_request,'Controller',false,params); 

      prepareUpdateTableContents(); 

     }

現在用JAVA MVC和很好奇可以在上面的代碼中有一個人編輯JavaScript來獲得通過修改搜索條件像reqNo和REQSEQ

不同的搜索結果

UPDATE: 我這裏指的是與本地網絡的組織,所以攻擊是由一些員工誰有權訪問系統

來源

2012-06-19 shareef

+5

不,這不安全。您需要驗證服務器上的HTTPRequest。任何人都可以製作循環,更改文本或通過Firebug或任何其他工具修改代碼。 – Adrian

回答

5

所有的人首先可以發dit您在瀏覽器中看到的任何JavaScript。他們可以操縱值和它發送給服務器的內容。此外,他們可以簡單地編寫自己的代碼發佈到您的網址。這不是在客戶端,你會讓你的系統安全,但在服務器端。

來源

2012-06-19 05:20:47 hackartist

+0

如何在服務器端,我可以使其安全這個大系統有一些組ID檢查每個請求的權限,但如果你有特權,並希望獲得另一個數據或操作給某人這是足夠的 – shareef

+0

我接受它,因爲你的答案它不安全,因爲我問,但可以回答如何使其在服務器端的MVC Web應用程序的安全,所以任何人查看這個問題也得到幫助 – shareef

+0

我離線了一下,如何使它在服務器端的安全是一個非常大的問題......通常你會想通過某種口令和身份證明來驗證這個人,當這種情況發生時,你可以給他們一個會話(可能會或不會超時)。每次他們想要做某件事時,他們都必須向您提供會話以表明他們有權執行此操作。其他要注意的事情是確保使用您通常希望[冪等](http://en.wikipedia.org/wiki/Idempotence)屬性的相同數據多次擊中同一網址以防止數據損壞。 – hackartist

相關問題

 相關問題