La mejor manera de ocultar un campo de entrada de forma que se tiene acceso mediante Firebug?
https://stackoverflow.com/questions/3510011
-
29-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Tengo un formulario que se publica a una API externa. Hay un parámetro llamado customer_token que se hace pasar como un campo de entrada. Se utiliza para la autenticación de la API y cada cliente se le asigna una ficha. El campo de entrada es visible en Firebug de Firefox (a pesar de que es un campo oculto).
¿Cómo puedo ocultar que?
Opciones Uso de javascript como pensaba inicialmente
Creo que el uso de Javascript para crear ese campo de entrada en el tiempo de ejecución antes de enviar el formulario e inmediatamente retirar el campo va a funcionar, pero aún el campo aparecerá momentáneamente. Por lo tanto, incluso si una persona no puede conseguir manualmente, me temo que una oruga o una araña (no sé el término exacto - pero algunos script automatizado) se puede obtener el token al cliente. ¿Hay una mejor solución para esto? Después de enviar el formulario, la misma forma que aparecen restos.
Uso de una sola vez el concepto token como sugerido por Zona no
No estoy seguro de cómo va a funcionar? La API necesita el valor del token de cliente correcto para procesar cualquier solicitud. Por lo tanto, incluso para generar una sola vez token y de retorno, una solicitud con el cliente ficha tiene que ser enviado. De esta manera cualquier persona es capaz de ver a mi cliente un valor simbólico y también puede enviar una solicitud para obtener una sola vez token y utilizarlo. Entonces, ¿cómo resolver el problema?
Resuelta Comprobar ¿Cómo publicar un formulario para mi servidor y luego a la API, en lugar de publicar directamente (por razones de seguridad)? Gracias, Sandeepan
Solución
Este es no posible. Firebug simplemente lee el DOM en su estado actual, por lo que incluso si se añade en una etapa posterior, que todavía puede ser recuperada.
Esta forma de seguridad se llama Seguridad por oscuridad y es una especie de no-seguridad. Usted tendría que resolverlo de otra manera, como dejar que el servidor haga el pedido en lugar de él.
Se dejó que el usuario envíe el formulario al servidor. Luego, con rizo , se hace la llamada al servicio web con el código de usuario correcto.
Otros consejos
No creo que esto es posible, me temo.
Firebug todavía verá el elemento si se inserta a través de JavaScript, ya que observa el árbol DOM. Si esta entrada expone una vulnerabilidad de seguridad, entonces es el trabajo de su código de servidor para validar / solucionarlo.
Para más detalles sobre la respuesta de API podía ayudar a esta pregunta con más detalle.
Espero que esto ayude
