安全性
- 一個(gè)賬號(hào)登陸后,可以查看所有的賬戶(hù)信息
1.例如:
張三登陸了A網(wǎng)站,然后張三想查詢(xún)李四在A網(wǎng)站的信息辑莫,比如李四有哪些愛(ài)好(假定A網(wǎng)站是做聊天术吝,可以查看
有多少好友)计济,如果網(wǎng)站是登陸后用js控制入?yún)ⅲ瑥埲c(diǎn)擊我的信息排苍,然后回顯張三賬號(hào)沦寂,點(diǎn)擊確定,然后可以
看到好友信息淘衙,那么從頁(yè)面操作沒(méi)有任何問(wèn)題传藏,若是通過(guò)爬蟲(chóng)個(gè)抓取,自由入?yún)⑼兀敲磫?wèn)題嚴(yán)重了毯侦,可以查詢(xún)?nèi)?意信息
2.分析原因:
這種問(wèn)題,主要是過(guò)于依賴(lài)js控制入?yún)⒕叩妫瑢?shí)際上js是可以屏蔽的侈离,方法非常多,其中爬蟲(chóng)可以完全不走js筝蚕、
chrome的Reres插件卦碾,可以屏蔽替換js
那么問(wèn)題就出現(xiàn)了
3.解決方法:
所有登陸后的查詢(xún)操作铺坞,尤其是查詢(xún)敏感信息,一定和個(gè)人賬號(hào)綁定洲胖,以防止出現(xiàn)張三查詢(xún)到李四的信息
4. 具體方法:
方法可能很多康震,我只想到,把入?yún)⒖刂破饋?lái)宾濒,控制到后臺(tái)腿短,如果查詢(xún)信息,那么默認(rèn)是當(dāng)前用戶(hù)绘梦,在后臺(tái)入?yún)?查詢(xún)時(shí)橘忱,默認(rèn)入?yún)埲馁~號(hào)
后記:
- B/S架構(gòu)的網(wǎng)站入?yún)⒉荒芴蕾?lài)js,因?yàn)閖s展示在前端卸奉,可以完全看到源碼的思路及實(shí)現(xiàn)钝诚,對(duì)于破解網(wǎng)站入?yún)⒁?guī)則來(lái)講,非常不利
最后編輯于 :
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
