首先,如果主题的名称不是最正确的,请道歉。
想象一下,下面的代码通过AJAX连接到一个PHP文件。
function get_locales(){
var the_locale = $('#page-add-text').val();
var url = "classes/load_info.php?type=locale&value=" + the_locale;
var all = "";
$.getJSON(url, function(data){
$.each(data, function(index, item){
all += "<li data-name='" + item.value + "'></li>";
});
$("#page-add-listview").html(all);
$("#page-add-listview").trigger("change");
$("#page-add-listview").listview("refresh");
});
}
如果人们下载该页面,他们将看到classes/load_info.php?type=locale&value= + the_locale;有了这个,他们自动假设url是:www.stackoverflow.com/classes/load_info.php?type=locale&value=TESTING;
因此,他们可以查看/检索函数打印的内容,此外,他们可能会试图获得一些错误。我正在寻求最好的方法(如果有的话)来避免这种情况。
谢谢。
无论您对代码进行多少模糊处理,开发工具的"网络"面板都将始终显示准确的请求。
为什么不尝试只修复错误,而不在代码中留下安全漏洞呢?
此人只能看到client side代码,而不能看到在服务器上执行的代码(PHP等)。无法隐藏服务器向浏览器发送的内容。
应用程序的安全性永远不应该依赖于客户端,原因如下。如果你向客户端传递了他们不应该看到的任何内容,那么解决方法就是不向客户端传递敏感数据。传递给客户端的数据是您希望他们看到的数据。错误和错误会发生,但他们花时间检查AJAX返回的事实可能意味着他们不会太在意。