Лучший способ скрыть поле для ввода формы от доступного доступа к Firebug?
https://stackoverflow.com/questions/3510011
-
29-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
У меня есть форма, которая размещена на внешнем API. Существует параметр под названием customer_token, который передается в качестве ввода поля. Он используется для аутентификации API, и каждому клиенту назначается один токен. Поле ввода видно в Firefox Firebug (хотя это скрытое поле).
Как мне это скрыть?
Опции Использование JavaScript, как я думал изначально
Я думаю, что использование JavaScript для создания этого поля ввода во время выполнения до отправки формы и немедленного удаления поля будет работать, но все же поле на мгновение появится на мгновение. Так что, даже если человек не может получить это вручную, я боюсь, что гусеницы или паук (я не знаю точного термина, но какой -то автоматический сценарий) могут получить токен клиента. Есть ли лучшее решение для этого? После подачи формы та же форма остается отображается.
Использование одноразовой концепции токена, как предложено Ikke
Я не уверен, как это будет работать? API нуждается в правильном значении токена клиента для обработки любого запроса. Таким образом, даже для создания единовременного токена и возврата, запрос с токеном клиентов должен быть отправлен. Таким образом, кто-либо способен видеть значение моего токена клиента, и они также могут отправить запрос, чтобы получить одноразовый токен и использовать его. Так как это решает проблему?
РешеноПроверять Как разместить форму на мой сервер, а затем на API, вместо того, чтобы публиковать напрямую (по соображениям безопасности)?Спасибо, Сандипан
Решение
Это нет возможно. Firebug просто читает DOM в его фактическом состоянии, поэтому даже если он добавлен на более позднем этапе, его все равно можно получить.
Этот способ безопасности называется Безопасность через безвестность и это своего рода безопасность. Вам придется решить это по -другому, например, позволить серверу выполнять запрос вместо.
Вы позволяете пользователю отправить форму на сервер. Тогда с скручивание, вы делаете звонок в веб -сервис с правильным кодом пользователя.
Другие советы
Я не думаю, что это возможно, я боюсь.
Firebug все еще увидит элемент, если он вставлен через JavaScript, так как он смотрит на дерево DOM. Если этот вклад обнажает уязвимость безопасности, то это задание вашего сервера кода для проверки / исправления его.
Более подробная информация об API может помочь кому -то ответить на этот вопрос более подробно.
надеюсь, это поможет
