通過瀏覽器編輯Js和Html文件 - 客戶端

Question

我想了解每個人可以通過瀏覽器編輯哪些文件，以瞭解在客戶端運行某些代碼的風險。
例如我在一個位點（在鉻）看到：

灰度文件是隻讀文件和黃色一個可以被編輯。
我的問題是：

1.黃色和灰色有什麼區別？爲什麼灰色只讀？
2.是否仍有可能以其他方式編輯灰色圖片？也許不通過瀏覽器？什麼是編輯客戶端文件的選項？
3.哪些文件可以編輯，哪些不能？（js，css，html，aspx ...什麼是所有選項）
4.是否有辦法知道是否有人更改html或js文件並查看他做了哪些改變？保存更改的日誌或類似的東西？

Answer 1

假設我們談論的是標準的Web使用情況而不是安全漏洞，用戶可以編輯和更改發送給他們的任何內容，並且用戶可以將他們喜歡的任何內容發送回服務器。在您的服務器上運行的任何代碼都不能由您的用戶編輯，並且在用戶瀏覽器中運行的任何代碼都很容易由您的用戶編輯。當用戶使用您發送的數據混淆時，無法記錄日誌。除非我們正在談論安全漏洞，否則用戶無法更改服務器上的文件，因爲它們所做的任何編輯僅適用於其本地副本。

實際上，這意味着您不能相信在客戶端運行的任何代碼的結果（js，html，css），因此您應該將所有安全敏感邏輯保存在服務器端代碼中（aspx，等）

這是爲什麼客戶端驗證是不夠的，一個安全的Web應用程序相關的問題： Why is client-side validation not enough?