使用 JQuery 进行内联页面编辑时如何保持安全性（就地编辑）

Question

我希望允许用户在登录后（例如在 facebook 上）在他们的个人资料页面上编辑项目。让我们将此页面称为profile.cfm。

我很困惑如何允许页面的内联编辑（即，用表单输入替换页面元素，以便用户可以就地编辑内容）只有当用户登录并且他们的凭据与他们的页面匹配时想要编辑。

传统上，我会有一个单独的页面来编辑像profile-edit.cfm 这样的个人资料。在这个页面上，我会检查他们想要编辑的配置文件的 ID 是否与存储在他们的 Session 变量中的 ID 相同。如果一切都匹配，则页面将显示。否则会失败。

但是，对于 JS 内联编辑，没有单独的编辑页面来处理安全检查。那么如何才能只有在正确的用户登录时才能启用 JS 编辑功能呢？我当然不希望用户修改其他人的个人资料。仅仅基于登录凭据禁用/启用内联编辑 Javascript 代码是不够的，因为可以使用 Firebug 等轻松将其重新打开。

当然，即使他们可以启用 javascript 并不意味着服务器会接受编辑，因为它会进行自己的验证。只是我宁愿用户在没有正确登录凭据的情况下甚至无法在视觉上编辑页面。

这是否只是基于 javascript 的控件的预期权衡，因为它们可能对用户可见（当然是恶意修改页面）将无法正常工作，具体取决于其他变量？

从逻辑/概念的角度来看，我一直坚持这一点。

Answer 1

如果我是你。我使用 ASP.NET C# 来开发 Web 应用程序。如果我希望使用 JQuery、Javascript 在客户端完成所有操作，我会执行以下操作：

• 确定哪些东西可以识别我的客户端登录，我在客户端也可以使用这些东西。比如他的ID、Session ID、Cookie等。
• 创建加密技术。
• 将其写入隐藏字段。
• 在客户端计算相同，然后匹配结果。
• 如果这等于隐藏字段的值，您就有一个真实的用户。否则没有。这可以在很短的时间间隔后一遍又一遍地完成。

示例： 考虑一下您的个人资料 ID、用户名和会话 ID。因此，您可以创建一个模式，例如用户名+个人资料 ID+会话 ID，并创建该字符串的哈希值。 然后在客户端创建相同的。然后验证它。希望对您有所帮助。

Answer 2

对于内联编辑，必须有一些初始化或一些脚本使表单字段可编辑。因此，根据条件包含这些脚本。表单示例

If(session[ID] == Profile ID){
   <script type="text">
       Add all your scripts which will allow inline editing.
   </script>
}

如果条件不满足，则不会包含脚本，因此表单字段将不可编辑。 希望这会有所帮助。