我正在做一个项目,出于多种原因,我决定使用AJAX执行提交表单,并且我具有此功能。我试图delete(someid)从浏览器的控制台调用该函数,并且该函数起作用了。现在这是一个安全问题。我怎样才能做到这一点?下面是说明它的代码片段:function delete(someid) { $.ajax({ type: 'POST', url: 'delete', data: { id: 'someid' } });}
1 回答
UYOU
TA贡献1878条经验 获得超4个赞
我试图从浏览器的控制台中调用delete(someid)函数,现在该方法已成为安全问题。
从客户端来看,这不是一个安全问题。据我所知,没有办法禁止人们使用控制台来调用要针对您的API使用的javascript,即使有可能,也有100多种不同的解决方法。
为此,安全性问题将出在服务器/ api端,在使用服务器端代码进行任何形式的实际删除之前,您应该检查请求。
因此,我看到的安全性问题是,如果有任何用户可以调用具有给定id的delete函数,并且该函数将从具有给定id的数据库中删除人员。
这将是服务器端的问题。您需要对用户进行某种授权。一个答案就是一个相当广泛的话题。
通常,您所拥有的流程是:用户向服务器发出删除请求,服务器将为发送请求的用户提供某种信息(例如ID),然后服务器将检查用户是否具有该ID可以从数据库中删除用户。
添加回答
举报
0/150
提交
取消