是否可以在非我们自己的 Web 应用程序中查看基于浏览器的 javascript 变量的值?
Is it possible to see the values of browser based javascript variables in a web application that is not our own?
这与有关。
假设我们正在使用一个不属于我们的应用程序并且使用 JWT 令牌来保证安全。我们是否能够通过浏览器开发人员工具或应用程序用于状态的变量的其他方式记录内容。具体来说,有人可以登录或查看用户获得 post 身份验证的 JWT 令牌的内容吗?
是的,完全有可能。任何用户都可以打开开发人员控制台并设置断点,以查看特定时间实例 运行time 上的变量值。这就是开发人员调试其应用程序的方式。
前端JS代码运行在浏览器上,由于需要解释,所以需要在浏览器上下载源代码,然后运行使用JS引擎(V8 for chrome、Safari 的 webkit、MS Edge 的 Chakra 等)
为了保护您的应用程序,只要涉及到安全性,您就需要在服务器端代码中放置尽可能多的业务逻辑。关于JWT,我建议你看看this SO question.
这与
假设我们正在使用一个不属于我们的应用程序并且使用 JWT 令牌来保证安全。我们是否能够通过浏览器开发人员工具或应用程序用于状态的变量的其他方式记录内容。具体来说,有人可以登录或查看用户获得 post 身份验证的 JWT 令牌的内容吗?
是的,完全有可能。任何用户都可以打开开发人员控制台并设置断点,以查看特定时间实例 运行time 上的变量值。这就是开发人员调试其应用程序的方式。
前端JS代码运行在浏览器上,由于需要解释,所以需要在浏览器上下载源代码,然后运行使用JS引擎(V8 for chrome、Safari 的 webkit、MS Edge 的 Chakra 等)
为了保护您的应用程序,只要涉及到安全性,您就需要在服务器端代码中放置尽可能多的业务逻辑。关于JWT,我建议你看看this SO question.