我最近正在构建我的网站,它有一个管理页面。 gyulasoos.com/admin。 它受javascript和firebase登录机制的保护。
它以这种方式工作: 站点上的主容器设置为display:none。该脚本使用firebase检查auth状态,如果它发现用户已通过身份验证,则容器可能会显示:block并且一切都变得可见。
我想知道这是否足够安全来阻止坏人,或者在显示内容的网站上禁用某些特定于脚本的脚本。 我提出了我的顾虑,因为javascript正在客户端上运行,如果正确修改的浏览器访问该页面,可能会忽略它的某些部分。这可能吗?
答案 0 :(得分:3)
安全性不依赖于客户的完整性。
如果您在firebase登录后面隐藏的内容是敏感内容,则需要确保在他们进行身份验证之前不要将其提供给客户端。另一方面,如果客户端代码对敏感信息进行了经过身份验证的API调用,那么这应该没问题。
答案 1 :(得分:1)
没有。 display:none只是一个样式属性,只会使该块在屏幕上不可见,但HTML和文本都可供浏览器和任何有权访问它的人使用。