是否有最佳实践来防止我的 Angular SPA 的用户在将请求发送到服务器之前操纵请求中的表单数据
Is there a best practice to prevent the user of my Angular SPA to manipulate the Form-Data in a Request before it is sent to the server
我的 Angular(版本 5)应用程序使用 JWT 令牌和 AuthGuards 进行保护。理论上,在将聚合的表单值发送到服务器之前,用户能够使用 Chromes 开发人员工具操作表单数据。现在是否有新的良好做法来防止在客户端发生这种情况,因此我可以假设通过 https 发送到服务器的数据是可信的?
这个 Question 解决了这个问题:建议将服务器端会话与验证相结合。但是在 Restful 架构中,不再有会话,我们无法通过在服务器端使用验证来阻止所有操作尝试的组合。因此,我正在寻找一种方便的客户端解决方案,这使得 normal 用户使用开发人员工具进行操作时感到不舒服。我也知道不可能有 100% 信任的客户端实现。但是使操纵尝试复杂化将是一个很好的权衡。
考虑创建 HttpClient 拦截器(请参阅 https://angular.io/guide/http),它将为每个 HTTP 请求(包括由表单发起的请求)自动调用。在这些拦截器中,您可以实现一些业务逻辑以确保数据不被用户操纵。
我的 Angular(版本 5)应用程序使用 JWT 令牌和 AuthGuards 进行保护。理论上,在将聚合的表单值发送到服务器之前,用户能够使用 Chromes 开发人员工具操作表单数据。现在是否有新的良好做法来防止在客户端发生这种情况,因此我可以假设通过 https 发送到服务器的数据是可信的?
这个 Question 解决了这个问题:建议将服务器端会话与验证相结合。但是在 Restful 架构中,不再有会话,我们无法通过在服务器端使用验证来阻止所有操作尝试的组合。因此,我正在寻找一种方便的客户端解决方案,这使得 normal 用户使用开发人员工具进行操作时感到不舒服。我也知道不可能有 100% 信任的客户端实现。但是使操纵尝试复杂化将是一个很好的权衡。
考虑创建 HttpClient 拦截器(请参阅 https://angular.io/guide/http),它将为每个 HTTP 请求(包括由表单发起的请求)自动调用。在这些拦截器中,您可以实现一些业务逻辑以确保数据不被用户操纵。