我已经找到了解决这个问题的方法,但奇怪的是,我发现没有任何与这个可能非常严重的问题相关的内容。当我禁用按钮,链接按钮或链接时,我这样做的目的是用户无法单击该链接并执行基础操作,因为它违反了我的业务规则。但是,我发现我可以简单地点击F12,打开开发人员工具,然后修改禁用按钮以启用它。无论我是在JavaScript中还是在代码后面禁用按钮都没关系,最终生成的标签几乎是一样的。我所要做的就是删除“disabled”属性,如果是ASP按钮,还要删除class属性。并且presto!我现在可以点击按钮了。害怕。有人有解决方案吗?
答案 0 :(得分:3)
您无法控制将哪些HTTP请求发送到您的服务器。
始终在服务器上执行安全/健全/数据完整性/身份验证/授权/业务规则实施/等检查。
您在客户端上执行的任何操作都只是为了方便用户。您无法使浏览器强制执行您的安全性,因为用户拥有浏览器。
答案 1 :(得分:1)
解决方案是使用某种形式的服务器端安全性以及客户端控制'。
例如,您可能会对用户进行身份验证,并从数据库中提取他们有权访问的一组函数。这些可以存储在服务器端的某个地方,也许是在用户访问期间的会话中。
当他们尝试执行操作时,您需要针对可用操作列表检查该操作,以查看他们是否具有权限。他们不能像启用按钮那样修改服务器端安全性。
在ASP.Net中,这通常使用属性或不同类型来完成,可能只允许特定角色的用户访问特定页面,控制器,操作,方法等。