我是一名自学成才的web开发人员,多年来我从经验丰富的开发人员那里学到了很多,但有一件事一直困扰着我…
任何用户都可以查看和编辑使用"前端技术"创建的任何内容,即HTML、CSS、JavaScript。我觉得我对此过于偏执,但我想听听比我更有经验和技能的人的意见。
显然,我知道我应该保护网站的安全,这样用户所有可以想象的行为都可以得到验证,但我仍然忍不住想,这足够吗?我知道这是一个普遍的问题,很难回答,但要考虑下一种情况。
我正在建立一个有大量模态或弹出窗口的网站。一个例子是登录模态。当用户点击"登录"按钮时,我会显示登录模式,并在关闭后隐藏它。
现在考虑对用户隐藏这些模态中的多个,但当检查网站时,它们仍然显示为隐藏元素。然后,用户可以在编辑CSS时显示模态,如果这些模态显示在不应该显示的地方,就会出现问题。
这是一个粗略的例子,但这被认为是"糟糕的实践/代码结构"吗?我只是很困惑,这是否完全无关紧要,因为它不是网站的"正常"功能,或者这是否重要,我应该仔细构建浏览器检查窗口中显示的内容。
希望有人能对这个问题有所了解。
谢谢
只要用户可见的代码不包含任何应该是secret并且只有服务器知道的内容,就绝对不需要麻烦。任何人都可以通过打开控制台或开发工具、删除/移动元素或键入自己的Javascript来破坏网站,方法数不胜数。让一个网站无法接受这种调整是不可能的。
如果网站因用户自己的篡改而崩溃,那是他们的责任,而不是网站设计者的责任(在最坏的情况下,他们可以刷新页面,回到设计的页面)。只要没有任何秘密发送到客户端,就可以随意构建页面,假设最终用户不会运行任何自定义Javascript或自行进行任何更改。当然,他们可能会这样做,但只要不允许他们做会给其他用户或服务器带来问题的事情(比如在后端接受未经验证的输入,或者向客户端发送应该保密的内容),就不必担心。