为了保护我的SPA,我需要一种方法来禁用所有JS断点。
目前,我仍然可以使用Chrome DevTool添加运行时断点并更改我的对象的变量值。不在控制台中,而是在运行时中。
如果攻击者能够更改App对象的属性值,那么我的应用程序就会受到攻击。
您是否有建议阻止此行为?
最好是插入我的JS:
console.ignoreBreakPoints();
答案 0 :(得分:0)
作为一种实用的衡量标准,您可以尝试通过在将JavaScript发送到客户端之前缩小或混淆JavaScript来使查看代码变得更加困难。但您不能依赖任何客户端行为来保护您的网站。必须在服务器端重新检查所有安全检查。
即使有办法指示Chrome不让人们使用Dev Tools做任何事情(并且没有),用户仍然可以 使用其他各种内容更改浏览器中的值{ {3}}在他们的计算机上。或者他们可以编译自己的自定义浏览器版本。或者他们可以简单地发送您的服务器错误信息,而无需运行客户端代码。