La meilleure façon de cacher un champ de saisie de formulaire d'être accessible à l'aide Firebug?
https://stackoverflow.com/questions/3510011
-
29-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'ai une forme qui est affecté à une API externe. Il y a un paramètre appelé customer_token qui est passé comme un champ de saisie. Il est utilisé pour l'authentification par l'API et chaque client se voit attribuer un jeton. Le champ d'entrée est visible dans Firebug de Firefox (même si elle est un champ caché).
Comment puis-je le cacher?
Options En utilisant javascript comme je l'ai d'abord pensé
Je pense en utilisant javascript pour créer ce champ de saisie au moment de l'exécution avant de soumettre le formulaire et enlever immédiatement le champ fonctionnera mais le champ apparaît momentanément. Donc, même si une personne ne peut pas obtenir manuellement, je crains que un robot ou araignée (je ne sais pas le terme exact - mais un script automatisé) peut obtenir le jeton client. Y at-il une meilleure solution pour cela? Après soumission du formulaire, la même forme reste affiché.
Utiliser concept de jeton unique comme suggéré par Ikke
Je ne sais pas comment cela fonctionnera? L'API a besoin de la valeur de jeton de client correct pour traiter toute demande. Ainsi, même pour générer un unique jeton et retour, une demande avec le client jeton doit être envoyé. Cette façon tout le monde est capable de voir ma valeur jeton client et ils peuvent également envoyer une demande pour obtenir un jeton unique et l'utiliser. Alors, comment cela ne résout le problème?
Résolu Vérifiez Comment publier sous forme de mon serveur et à l'API, au lieu de poster directement (pour des raisons de sécurité)? Merci, Sandeepan
La solution
est pas possible. Firebug lit juste le DOM dans l'état actuel de ce, même si elle est ajoutée à un stade ultérieur, il peut encore être récupéré.
De cette façon, la sécurité est appelée Sécurité par l'obscurité et est une sorte de non-sécurité. Vous devrez résoudre une autre façon, comme laisser le serveur faire la demande au lieu.
Vous laissez l'utilisateur soumettre le formulaire au serveur. Puis, avec boucle , vous faites l'appel au webservice avec le code utilisateur correct.
Autres conseils
Je ne pense pas que ce soit possible, j'ai peur.
Firebug verra toujours l'élément si elle est insérée via Javascript, comme il regarde l'arbre DOM. Si cette entrée expose une vulnérabilité de sécurité, alors il est le travail de votre code côté serveur pour valider / corriger.
Plus de détails sur la puissance de l'API aide quelqu'un répondre à cette question plus en détail.
J'espère que cette aide
