如果我有一些代码在用户登陆我的页面时运行,例如
const num = Math.random()
.
网站的用户是否有可能访问该变量的值,因为它现在在他们本地机器的内存中?通常是否应该假设客户端内存中的数据不再安全?
是的。用户可以打开开发人员工具并在分配发生后在代码中放置一个断点并检查那里的值。
如果值存储在全局持久变量中,那么他们可以随时从控制台检查它。
编辑:用户不仅可以see值,他们还可以change值。这就是为什么您永远不能相信发送到您的服务器代码的任何客户端数据,即使该数据是由您的 JS 代码生成的。用户可以在发送之前修改它。