是否有任何危险以创造usb驱Javascript客户?
https://stackoverflow.com/questions/1296234
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我需要产生usb驱最终储存在数据库。我可以产生论文usb驱从Javascript在客户浏览器(有一些例子在这里)?
是否有任何安全的风险,这样做?我的理解是,任何人都可以修改usb驱之前通过的服务器,用于储存。所以我需要检查,如果他们是真正的独特之前把它们储存在该数据库,但除此之外,是否还有任何其他事情以结账?
(对不起,我的英语,随时纠正任何语法错误)
编辑: 回答问题,为什么我会希望这样做,是因为我可以创建一个新的对象和它的标识符Javascript和它加到我的看法,然后使阿贾克斯呼叫服务器,将它添加到数据库。这种方式,我不需要它回到从数据库中的知道什么是它的主要标识符。
解决方案
不是真的。只要它是一个简单的标识符,仅此而已,你确实是检查它的有效性和唯一性,它并不比其在url中的ID,例如用户帐户不同。
看看你的地址栏。我敢打赌,1296234是这个问题的主键,但我真的不能做与信息任何东西。同样的处理你的脚本。
其他提示
你在产生这些客户端看到有什么好处?坦率地说,最好的办法是产生它的服务器端,走出的网民到达。它可能不会给您节省从任何严重的安全问题,但它会削减冗余校验。
是的。风险是不具体,以测任何客户端产生的标识具有某些风险,这取决于你做什么用的标识。问题是,很难证Javascript。如果你接受ID产生的客户,则接受任何Id从黑客的攻击。
风险可以包括,
会议偷窃。如果您使用的标识,以识别该届会议上,有人可能使用的现有标识,作为生成的标识与服务器可以把它作为一个现有的会议,如果适当的照顾,不考虑。
重复键。真正的东西随机的,但某人可能产生重复键,这将搞砸了你的数据库。
你可能会找到方法来抵御这些攻击,但是这是被动的保护。它可能会失败的原始目的,产生身份证的客户,这是简单的。
是有一些原因,你不能让数据库生成(增量)的ID?
如果,像你说的,你必须提交反正它,为什么不只是有什么后台语言使用的是生成前检查的价值的唯一性。这将使它更不透明。
