我有疑问,我没有在其他任何地方找到答案。
客户可以更改我脚本中的函数参数,变量和...的值吗?
例如,我有一个调用JS函数的按钮,该函数从数据库中删除具有指定Id的产品:
<button onclick="deleteProduct(productId: 123);">Delete Product</button>
当客户来到我的网站时,他们可以打开浏览器的“检查元素”工具,手动更改我的JS函数(deleteProduct)的product id参数值。然后他们可以通过更改productId删除任何产品。
这可能吗?如果是,我们如何防止它?
是。用户可以完全控制浏览器中发生的所有事情。
如果要阻止人们从数据库中删除任意内容,则将数据库存储在服务器上,并对其上的任何删除查询请求应用一定级别的身份验证和授权。