Uladz Kha Asked:2020-08-05 04:21:40 +0000 UTC2020-08-05 04:21:40 +0000 UTC 2020-08-05 04:21:40 +0000 UTC Asp .NET 和 AngularJS 应用程序中的一些逻辑 772 美好的一天,stackoverflowers,我正在写一个应用程序,我考虑了逻辑,现在我这样做: 1)我从服务器上的数据库中拉取数据(例如,分相册的照片) 2)我将所有照片保存在一个数组中 3)点击某个相册时 - 我将所有照片和相册 ID 传递给角度方法 4) 我选择了具有所需albumId的照片并将它们返回到数组中。 请告诉我,从逻辑和安全的角度来看,在客户端执行这些和类似操作如何更正确,或者在服务器端执行所有这些操作会更正确? 预先感谢您的回答! клиент-сервер 1 个回答 Voted Best Answer Qwertiy 2020-08-05T06:23:24Z2020-08-05T06:23:24Z 所有安全要求基本上都归结为: 在任何情况下,服务器都不应向客户端提供该客户端无权查看的数据。请求是否是针对客户端上的此类数据并不重要,请求总是可以伪造的。必须在服务器上执行所有权限检查,必须根据服务器上的权限过滤所有信息。一般来说,一切。 服务器在使用 get 请求时不应更改状态。此类请求由浏览器发送,在请求之前没有进行跨站安全检查,可以由攻击者发送(虽然他不会收到响应,但服务器会处理请求)。
所有安全要求基本上都归结为:
在任何情况下,服务器都不应向客户端提供该客户端无权查看的数据。请求是否是针对客户端上的此类数据并不重要,请求总是可以伪造的。必须在服务器上执行所有权限检查,必须根据服务器上的权限过滤所有信息。一般来说,一切。
服务器在使用 get 请求时不应更改状态。此类请求由浏览器发送,在请求之前没有进行跨站安全检查,可以由攻击者发送(虽然他不会收到响应,但服务器会处理请求)。