第七色在线视频,2021少妇久久久久久久久久,亚洲欧洲精品成人久久av18,亚洲国产精品特色大片观看完整版,孙宇晨将参加特朗普的晚宴

為了賬號(hào)安全,請(qǐng)及時(shí)綁定郵箱和手機(jī)立即綁定
已解決430363個(gè)問題,去搜搜看,總會(huì)有你想問的

在客戶端比較訂閱到期日期和當(dāng)前日期是否安全?或者這可以被操縱嗎?

在客戶端比較訂閱到期日期和當(dāng)前日期是否安全?或者這可以被操縱嗎?

我從后端獲取一些數(shù)據(jù),這些數(shù)據(jù)告訴我用戶訂閱的到期日期。如果這個(gè)日期是過去的日期,我會(huì)將用戶導(dǎo)航到其他地方,這樣她就無(wú)法登錄:  if (expirationDate.getTime() < new Date().getTime()) {         navigate('/subscription-expired')   }我想知道在客戶端上進(jìn)行這樣的比較檢查是否安全?這可以被操縱嗎?
查看完整描述

3 回答

?
青春有我

TA貢獻(xiàn)1784條經(jīng)驗(yàn) 獲得超8個(gè)贊

在客戶端檢查數(shù)據(jù)、驗(yàn)證數(shù)據(jù)和其他內(nèi)容的好處是:

  • 提醒普通用戶他/她的狀態(tài)不佳(用戶被告知其訂閱到期)。(結(jié)果:用戶體驗(yàn))

  • 減少服務(wù)器負(fù)載。當(dāng)防止普通用戶向服務(wù)器發(fā)送無(wú)效數(shù)據(jù)時(shí)。(普通用戶在發(fā)現(xiàn)訂閱已過期時(shí)不會(huì)向服務(wù)器發(fā)送額外的數(shù)據(jù))(結(jié)果:資源節(jié)省和性能)

但檢查服務(wù)器端是一項(xiàng)義務(wù),因?yàn)橛?em>非常規(guī)用戶(修改 Js、使用 Postman、機(jī)器人、入侵者發(fā)布數(shù)據(jù))可能會(huì)在不干預(yù)的情況下發(fā)送 Http 請(qǐng)求,并且驗(yàn)證客戶端代碼可能會(huì)濫用您的系統(tǒng)。

客戶端是敵人的戰(zhàn)場(chǎng)

總結(jié)一下:

必須在服務(wù)器端驗(yàn)證數(shù)據(jù)以防止任何濫用。

建議也在客戶端 驗(yàn)證數(shù)據(jù),以提高整個(gè)系統(tǒng)的性能。

例如在你的情況下:

  • 在服務(wù)器端:

    • 檢查過期時(shí)間=>

    • 如果已經(jīng)過期=>

    • 返回 403 錯(cuò)誤:{message:"expired"}

  • 在客戶端:

    • 如果出現(xiàn) 403 錯(cuò)誤{message:"expired"}。=>

    • 重定向用戶。


查看完整回答
反對(duì) 回復(fù) 2023-07-06
?
料青山看我應(yīng)如是

TA貢獻(xiàn)1772條經(jīng)驗(yàn) 獲得超8個(gè)贊

你永遠(yuǎn)不應(yīng)該相信客戶端的任何東西。

最重要的是,服務(wù)器時(shí)間和客戶端時(shí)間可能不同。

那么問題來(lái)了,你的訂閱開始時(shí)間是基于客戶端時(shí)間還是服務(wù)器時(shí)間?(這應(yīng)該是服務(wù)器時(shí)間,因?yàn)槲覀儾粦?yīng)該信任客戶端)

最安全的方法是讓您的服務(wù)器返回訂閱是否有效(即 true/false);

如果為 false,則導(dǎo)航('/subscription-expired')

最重要的是,每個(gè)頁(yè)面都應(yīng)該包含相同的支票。


查看完整回答
反對(duì) 回復(fù) 2023-07-06
?
浮云間

TA貢獻(xiàn)1829條經(jīng)驗(yàn) 獲得超4個(gè)贊

您的用戶是否可以操縱 JavaScript 代碼,或者只是在計(jì)算機(jī)上設(shè)置了錯(cuò)誤的日期和時(shí)間?當(dāng)然可以。會(huì)有那么關(guān)鍵嗎?在您的情況下,您只想將用戶重定向到另一個(gè)頁(yè)面,因此這并不重要,但它會(huì)影響對(duì)您的應(yīng)用程序的信任,因?yàn)樵谀承┣闆r下它會(huì)以意想不到的方式運(yùn)行,并在以下情況下說訂閱已過期它不是(或者說它沒有過期)。

如果您的后端信任客戶端提供當(dāng)前日期而不進(jìn)行驗(yàn)證,那么這可能會(huì)更加重要,因?yàn)槟臄?shù)據(jù)可能會(huì)被偽造,并且您的業(yè)務(wù)規(guī)則可能會(huì)被繞過。

這取決于用例,但一般來(lái)說,您不應(yīng)將new Date()瀏覽器視為事實(shí)來(lái)源。你的后端仍然是真相的持有者。


查看完整回答
反對(duì) 回復(fù) 2023-07-06
  • 3 回答
  • 0 關(guān)注
  • 187 瀏覽
慕課專欄
更多

添加回答

舉報(bào)

0/150
提交
取消
微信客服

購(gòu)課補(bǔ)貼
聯(lián)系客服咨詢優(yōu)惠詳情

 幫助反饋 APP下載

慕課網(wǎng)APP
您的移動(dòng)學(xué)習(xí)伙伴

 公眾號(hào)

掃描二維碼
關(guān)注慕課網(wǎng)微信公眾號(hào)