安全性
- 一个账号登陆后,可以查看所有的账户信息
1.例如:
张三登陆了A网站,然后张三想查询李四在A网站的信息,比如李四有哪些爱好(假定A网站是做聊天,可以查看
有多少好友),如果网站是登陆后用js控制入参,张三点击我的信息,然后回显张三账号,点击确定,然后可以
看到好友信息,那么从页面操作没有任何问题,若是通过爬虫个抓取,自由入参,那么问题严重了,可以查询任
意信息
2.分析原因:
这种问题,主要是过于依赖js控制入参,实际上js是可以屏蔽的,方法非常多,其中爬虫可以完全不走js、
chrome的Reres插件,可以屏蔽替换js
那么问题就出现了
3.解决方法:
所有登陆后的查询操作,尤其是查询敏感信息,一定和个人账号绑定,以防止出现张三查询到李四的信息
4. 具体方法:
方法可能很多,我只想到,把入参控制起来,控制到后台,如果查询信息,那么默认是当前用户,在后台入参
查询时,默认入参张三的账号
后记:
- B/S架构的网站入参不能太依赖js,因为js展示在前端,可以完全看到源码的思路及实现,对于破解网站入参规则来讲,非常不利