是否有可能在Web應用程序中有一段安全的Javascript代碼?通過安全我的意思是,我們可以做的事情,如查詢服務器的權限,並做不能被客戶端更改的操作?是可以做一個安全的JS腳本或功能?
例子:
var flag = 0;
$.ajax({
async: false,
url: "/check_permission_script.php",
success: function(data){
flag = parseInt(data);
}
});
if (flag != 1){
display_normal_content();
}else{
display_secure_content();
}
這裏我要進行查詢到服務器以檢查用戶是否有權查看安全內容。如果他們有權限,則我們使用display_secure_content()
向他們顯示安全內容,如果不是,我們使用display_normal_content()
來顯示正常內容。問題是,通過調試終端,可以很容易地在客戶端計算機上設置flag
變量== 1,或者直接調用display_secure_content()
函數。
我以這種方式做事的動機是讓漂亮的網頁應用程序使用Ajax獲取新內容,而無需重新加載頁面。我喜歡這個,而不必重新加載頁面。
所以問題是,我們可以有JS腳本是安全的客戶端操作?或者,網絡基礎設施的性質根本不可能?
謝謝!
除非'display_secure_content()'調用另一個Ajax,否則您的安全內容將在頁面的源代碼中可見。你爲什麼不直接從最初的ajax調用服務器獲取正確的內容? – jeroen 2012-07-19 13:59:10