Il modo migliore per nascondere un campo di input modulo da cui si accede utilizzando Firebug?
https://stackoverflow.com/questions/3510011
-
29-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Ho una forma che è pubblicato a un API esterna. C'è un parametro chiamato customer_token che è passato come un campo di input. E 'utilizzato per l'autenticazione da parte del API e ogni cliente viene assegnato un gettone. Il campo di immissione è visibile in Firebug di Firefox (anche se si tratta di un campo nascosto).
Come faccio a nasconderlo?
Opzioni JavaScript utilizzando come ho pensato inizialmente
Credo che utilizzando JavaScript per creare quel campo di immissione nella fase di esecuzione, prima di inviare il modulo e subito la rimozione del campo funzionerà, ma ancora il campo apparirà momentaneamente. Quindi, anche se una persona non può ottenere manualmente, temo che un cingolato o ragno (non so il termine esatto - ma alcuni script automatico) può ottenere il token cliente. C'è una soluzione migliore per questo? Dopo modulo di presentazione, gli stessi resti forma visualizzata.
Utilizzo di una volta il concetto di token come suggerito da Ikke
Non sono sicuro di come funzionerà? L'API richiede il corretto valore del token cliente per elaborare qualsiasi richiesta. Così, anche per generare una sola volta token e ritorno, una richiesta con il cliente di token deve essere inviato. In questo modo chiunque è in grado di vedere il mio cliente un valore simbolico e possono anche inviare una richiesta per ottenere una sola volta token e usarlo. Così come si risolve il problema?
Risolto Controllare Come inviare forma al mio assistente e poi di API, invece di inviare direttamente (per motivi di sicurezza)? Grazie, Sandeepan
Soluzione
Questa è non possibile. Firebug appena legge il DOM nel suo stato attuale, quindi, anche se è aggiunto in una fase successiva, può ancora essere recuperata.
In questo modo la sicurezza è chiamato Sicurezza attraverso l'oscurità , ed è una sorta di non-sicurezza. Si dovrebbe risolvere in un altro modo, come lasciare il server di fare la richiesta al posto.
Si lascia l'utente inviare il modulo al server. Poi, con ricciolo , si effettua la chiamata al webservice con il codice utente corretto.
Altri suggerimenti
Non credo che questo sia possibile temo.
Firebug vedrà ancora l'elemento se è inserito tramite Javascript, come si osserva la struttura DOM. Se questo ingresso espone una vulnerabilità di sicurezza, allora è il lavoro del vostro codice lato server per convalidare / risolvere il problema.
Maggiori dettagli sul risposta API potrebbe aiutare qualcuno a questa domanda in modo più dettagliato.
Spero che questo aiuta
