【发布时间】:2013-11-16 18:20:59
【问题描述】:
我已经编写了很多函数,它们使用 ajax 在我的 main.js 文件中调用 PHP 函数。问题是任何人都可以通过查看页面源来查看我的逻辑和内部调用的网站 php 文件名。我应该如何防止人们查看我的 javascript 文件?
【问题讨论】:
-
你不能。假设任何人都可以阅读您发送到浏览器的任何内容。
标签: javascript php jquery ajax
【发布时间】:2013-11-16 18:20:59
【问题描述】:
Javascript 可以被混淆,但没有什么可以阻止客户端
- 在您的代码中查看 URL 字符串,或
- 只需检查 HTTP 请求本身即可确定正在访问的 URL。
这再次强调了确保您编写可靠且安全的服务器端代码的重要性。您还需要确保您的 Web 服务器已正确配置和保护,以便(例如)客户端无法直接下载 PHP 源代码。
【讨论】:
-
如果你能......那么客户端就不会工作了。
-
@Jud - 感谢您的详细回答。
您无法阻止人们查看您的 javascript 文件,因为需要可读的 javascript 代码才能在您的页面上正确执行该代码。您可以混淆函数名称并缩小 javascript 以使其更难阅读,但如果有人想阅读该文件,这不会阻止他们这样做。
相反,您应该假设每个人都了解您的 javascript 文件,并且每个人都可以更改您的 javascript 文件。您不应该只在您的 javascript 文件和每个 php 页面中进行任何验证,您应该以某种方式检查发出的请求是否有效(例如,是否允许用户在某个时间对某个页面执行 ajax 请求?) .
【讨论】:
-
安全功能应该从不在 Javascript 文件中。但是,验证很有用。
-
呃;这就是我的意思。我就是想不出名字。现在改变它。
-
@Sumurai8 - 好的!这意味着在执行真实代码的每个php页面中,我必须检查$_SESSION,$_POST变量值,以确保该php文件是通过有效步骤访问还是通过读取js文件的技巧访问?
-
@user2998401 部分是的。您应该始终检查您需要的所有变量是否存在,并且格式不正确(例如,需要整数的变量中的“asdf”)。对于某些页面,您可能不关心有人如何访问它(例如,以 html 格式发送所有 cmets 的页面),但如果该页面应仅在某些情况下运行(例如,用户是管理员并且确实单击了删除评论按钮),您应该以某种方式检查这些情况。在这些情况下,一次性秘密可能很有用。
-
@Sumurai8 - 好的,感谢 Sumurai 提供的信息。我会记住它们。
您无法在浏览器中隐藏 Javascript,否则您的 javascript 相关操作将无法运行。
【讨论】:
您不能隐藏 javascript 文件。但是您可以缩小代码,这样一个人就很难阅读和理解您的逻辑和所有内容。 像这样的
【讨论】: