有没有办法阻止用户修改<script></script>标签的内容?
例如,我可能包含一个带有Javascript的付款按钮,但更聪明的用户可以通过Firebux或其他编辑器修改其价格。
答案 0 :(得分:3)
不,您无法阻止用户在浏览器中执行任何操作。
更重要的是,无论任何script标签或您向用户显示的任何内容,您都无法阻止任何人手动制作GET / POST等。请求到您的网站。因此,即使你可以以某种方式阻止某人在他们的浏览器中编辑HTML(再次,你不能),他们仍然可以只观看POST请求并用任何数据制作他们自己的假请求他们想要。
从来没有永远依赖客户端代码来处理重要的业务逻辑。跟踪服务器端代码中的内容价格并使用该值。您仍然可以在客户端代码中维护此类数据(主要用于UX),但不要在没有首先针对已知可信数据验证它的情况下使用服务器端。
答案 1 :(得分:2)
不,你不能这样做。您应该始终在服务器端进行这种验证,因为来自用户浏览器的所有内容都可能是伪造的。
答案 2 :(得分:0)
您需要向用户显示您需要的所有内容,但只将项目ID传递给帖子。 然后,服务器端检索交易的价格和其余数据。