0
我們有angularjs應用,我們有相關的用戶不同的角色調試代碼在JavaScript。例如:這兩個角色是管理員和本地。根據角色,我們爲管理員顯示一些菜單項,並向管理員添加更多功能/屏幕。如何防止客戶端使用的開發工具
與管理屬性的用戶信息從登錄響應中返回,並根據我們的決定,所有的菜單和屏幕來呈現。
但是,如果我們的用戶開發工具,在使用管理員屬性設置斷點,並設置管理員屬性爲true的用戶即使他是本地用戶將能夠訪問管理員權限。
總之誰擁有對javascript代碼可以得到管理員權限的一些想法。難道還有比代碼的微小其他任何想法,以防止此類安全威脅的
感謝
您應該依靠服務器端返回基於角色正確的菜單項。永遠不要相信客戶,因爲它總是可以被操縱的。 – matox