[問題] javascript禁止從網址列輸入

看板Ajax作者 (阿蹦)時間8年前 (2015/12/03 11:15), 編輯推噓4(4020)
留言24則, 5人參與, 最新討論串1/1
目前從server request到資料後存在頁面上變數,達到判斷login的作用,但無法避免使用者直接輸入網址導向,沒有用server side,可只用javascript去ban嗎,或有取得url列的function嗎 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.217.165.132 ※ 文章網址: https://www.ptt.cc/bbs/Ajax/M.1449112527.A.C83.html
12/03 11:20, , 1F
有想用wondow.location但登入後導向過去又會導回
12/03 11:20, 1F
12/03 11:28, , 2F
即使能,你敢相信別人電腦上js的結果嗎
12/03 11:28, 2F
12/03 12:33, , 3F
登入只能靠後端處理
12/03 12:33, 3F
12/03 13:30, , 4F
後端跑不掉,敏感資訊本來就該透過後端處理
12/03 13:30, 4F
12/03 15:39, , 5F
密碼存在server上request到頁面上變數
12/03 15:39, 5F
12/03 15:39, , 6F
只是不能改後端不是沒後端
12/03 15:39, 6F
12/03 18:52, , 7F
使用者把javascript關掉,不就破功了
12/03 18:52, 7F
12/03 19:51, , 8F
頂多不能登入,但有網站沒用到js嗎
12/03 19:51, 8F
12/03 21:08, , 9F
網站用js頂多儲存一個存取權杖值,實際上密碼都放後端
12/03 21:08, 9F
12/03 21:09, , 10F
不會放在JS上讓大家都看的到改的了
12/03 21:09, 10F
12/03 21:09, , 11F
如果我會JS,我去看原始檔或開發者模式就知道密碼啦~
12/03 21:09, 11F
12/03 21:11, , 12F
簡單做登入有兩種方式,一種是密碼送出後在伺服器端儲存
12/03 21:11, 12F
12/03 21:12, , 13F
登入狀態,使用者只要開著瀏覽器不要閒置太久就會一直是
12/03 21:12, 13F
12/03 21:12, , 14F
登入狀態,而JS沒有特別儲存什麼資訊在前端
12/03 21:12, 14F
12/03 21:13, , 15F
另外一種是登入後伺服器發出一個Key,這個Key存在cookie
12/03 21:13, 15F
12/03 21:13, , 16F
中,是利用使用者資訊做出來的一組文字,每次登入都不一
12/03 21:13, 16F
12/03 21:14, , 17F
樣,每次做任何要求伺服器都用這個Key檢查你是不是登入
12/03 21:14, 17F
12/03 21:15, , 18F
這樣的方式即使使用者關閉瀏覽器或閒置過久也不會登出
12/03 21:15, 18F
12/03 21:15, , 19F
就像FB那樣你登入一次到登出為止會一直是登入狀態
12/03 21:15, 19F
12/03 21:16, , 20F
無論哪個方式,密碼只有在你第一次輸入時存在網頁上
12/03 21:16, 20F
12/03 21:16, , 21F
登入後就再也不會出現在網頁上了
12/03 21:16, 21F
12/03 21:22, , 22F
上面有寫到密碼是從後端取上來,不存在js上
12/03 21:22, 22F
12/03 21:24, , 23F
我的意思就是說正統來說密碼不要再取出來,進去就消失了
12/03 21:24, 23F
12/03 21:25, , 24F
只有登入要檢查帳號密碼,之後都不需要密碼
12/03 21:25, 24F
更多 washqwe 的文章
文章代碼(AID): #1MNxFFo3 (Ajax)