New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
前后端分离开发是不是信息泄露无法避免? #2298
Comments
其实也和你一样考虑到这些问题、像请求的一些数据api、token之类的F12一样是看的清清楚楚的 |
不存在的,token就是身份令牌会动态变化的。传统MVC项目中的身份令牌一样会放在 cookie 里面F12一样可以看得到。 |
至于 API 数据 ,本来就是为了展示的数据不存在所谓的信息泄露,如果你非要隐藏API域名,可以用代理rewrite 路由, 而且这样可以解决跨域问题,webpack 以及打包发布的服务器都可以配置 |
不只是API数据。再举个例,从后台服务器根据用户权限获取路由和目录,需要在前端预设一个routeMap,把后台json返回的字符串映射成vue调用的页面函数。这个routerMap会包含前端所有路由信息。而问题就在于无需登录,只需要F12,routerMap的所有信息都一览无遗。 |
是个好问题,前后端分离促进了思考。 |
|
国际化也同理,整个项目的本地化信息都在 zh.js ,这是偷懒的做法。划分好模块,语言文件跟随对应的页面加载就好了 |
生产环境打的包不是已经采用压缩混淆了吗,F12看到的能看得懂? |
生产环境打包一般只是压缩,不做混淆的。一般慢慢调试都可以得到想要的信息 |
1、动态路由,根据后端的角色返回该用户有权限的路由动态加载出来 |
实际上,login api 获取 token |
本项目中的路由总表、国际化文件,都可以把项目中很多信息泄露出去。 比如本项目,无需用户登录,就可以在浏览器,通过开发者工具,查看zh.js, router/index.js的全部内容,就很容易知道后台设置了什么目录,网站管理员有哪些特殊权限等。
前后端分离开发是不是信息泄露无法避免?
The text was updated successfully, but these errors were encountered: