客户端安全和验证有多强大?

Posted

技术标签:

【中文标题】客户端安全和验证有多强大?【英文标题】:How robust is client side security and validation? 【发布时间】:2022-01-23 12:20:41 【问题描述】:

我们使用客户端表单验证,并使用 Angular 中的 Authguard 之类的东西来管理网页访问。

但这有多安全,客户端不能直接从他们这边操作 java 脚本并访问任何已经加载的网页并将任何未经验证的数据发送到服务器吗?

它只对良性客户端有用,对恶意客户端没有用吗?还是还有更多?

有没有其他方法可以使客户端的代码更安全并控制客户端在加载完所有网页后执行的操作?

【问题讨论】:

【参考方案1】:

它只对用户体验有用,对安全无用。

事实上,您甚至不能假设客户端是一个网络浏览器,或者它甚至正在运行您的代码。您无法从客户端保护服务器端,除非您有办法审查每台客户端设备(例如使用perimeter security)。

即使在用户登录后,这也不一定算作经过审查的设备,因为可以steal authentication cookies。 ...除非您妥善保护服务器。

【讨论】:

以上是关于客户端安全和验证有多强大?的主要内容,如果未能解决你的问题,请参考以下文章

对于无状态的前端客户端,这个 JWT 逻辑有多安全?

科普 | 叔块验证与网络安全性

jQuery Validate为表单提供了强大的验证功能,让客户端表单验证变得更简单

客户端应用 jwt 令牌解码和验证安全

Trust Swiftly推出强大以加强电子商务欺诈的身份验证预防系统

Web 应用程序安全和客户端身份验证