个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
25
4
是否可以轻松检测到用户对 DOM 的操作?
当用户在任何现代浏览器中使用控制台时,他/她可以以开发人员不希望的方式操作 DOM。
我有一个网络应用程序与处于特定状态的 DOM 密切相关,如果用户通过控制台对 DOM 执行任何操作,我希望收到通知。
答案:
编辑:
到目前为止,我收到的答案似乎有些困惑。正如上面 #2 中所指出的,我知道大多数(如果不是全部)方法都可以规避。
此外,这是一个内部工具,因此受到 VPN 的保护。此外,还有服务器端检查。但是,有一些我无法详细说明的原因,因为我想知道用户(数量很少)何时操纵了 DOM。
需要明确的是,这不是出于安全原因。我不想在这里阻止恶意用户。将此视为出于好奇。
最佳答案
不要那样做。将您的网站编码为不信任用户输入,然后不关心用户做什么。如果提交了无效输入,则拒绝它。大家都很开心。
很容易认为您拥有用户的浏览器。你不知道。它为您服务,但仅在用户心血来潮的情况下。
如果您真的必须知道 DOM 何时被修改——这似乎是一个非常脆弱的设计——那么只需执行相当于计算校验和的操作即可。在站点批准的功能的每个合法步骤之后,遍历您关心的 DOM 元素并记录它们的位置、值或您关心的任何内容。在间隔、验证时间或下一次 UI 交互时,进行比较。这是检测 DOM 变化的唯一全面的、跨浏览器(包括旧浏览器)的方法。现代浏览器提供 DOM 突变事件(有关更多详细信息,请参阅 Tim Down 的回答)但支持有限并且显然会被另一种新事物所取代。
最终,无论您做什么都无法阻止决心挫败您的阴谋的人。如果有的话,用户可以使用 Firebug 复制浏览器的 POST 请求,对其进行调整,然后编写一个小程序来提交他自己的恶意 POST 请求。保护您的服务器免受恶意输入比让您的网页防弹(因为它不会)更重要。
关于javascript - 轻松检测用户何时更改 DOM,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13537043/
25
4
0
关闭。这个问题是opinion-based .它目前不接受答案。 想要改进这个问题? 更新问题,以便 editing this post 可以用事实和引用来回答它. 关闭 6 年前。 Improve
Polymer的light DOM和local DOM有什么区别?来自文档(1): The DOM that an element creates and manages is called its
当内容添加到网页时,我需要触发一个 Action 。更新可能具有不同的性质(例如 AJAX、延迟脚本、用户操作)并且不受我的控制。 我想使用 DOM 突变事件,但它们并非在所有浏览器中都可用。是否有为
我刚遇到一个有趣的情况,我有一个提交 放置在 内的 native 自定义元素的 Shadow DOM 内. Select #shadow-root ...
假设有一个滚动列表,当我插入一些新的 DOM 附加到当前 dom 时,它工作正常。上拉 但是如果我之前插入一些新的 DOM,新的 DOM 将在视口(viewport)中,而旧的 DOM 将被下推。下拉
在我的项目中实现 Shadow DOM 是否会使它们像 React 使用的虚拟 DOM 一样更快? 最佳答案 它们是不同用途的不同事物,因此比较性能没有意义。 虚拟 DOM 虚拟 DOM 旨在避免对
在我的页面内容上,我将多张卡片组织成网格 __________________ | ____ ____ | | | | | | | | | | | |
是否可以在浏览器中看到(调试)从 DOM 元素触发的自定义事件? 假设我想查看 Bootstrap Collapse 的哪个特定元素触发了 show.bs.collapse event ,我能以某种方
我正在生成用于客户端的 XPaths 服务器端,我很困惑为什么在 DOM 中找不到表路径(即 td 中的内容)。 事实证明,现代浏览器(至少是 Chrome 和 Firefox)插入了 tbody在文
是否可以检索文本节点的几何位置(即从父元素、页面等的顶部/左侧偏移量)? 最佳答案 不是直接的。 TextNode 没有用于测量视口(viewport)定位的原始 IE 偏移*(和类似的)扩展。 仅在
以下语句中的 DOM 元素的含义是什么? Statement #1 You can add multiple classes to a single DOM element. Statement #2
有没有办法让 firebug(或任何其他浏览器,或使用任何其他工具)阻止任何 dom 操作的发生?有时布局调试充满悬停事件的屏幕是不可能的,因为元素可能会消失,并且您看不到它们的复合布局。 最佳答案
我需要在html文档中搜索 text here 然后输出完整的节点路径(CSS或XPATH) 例如 html > body > div class ="something" > table > tr
这是我的一个页面的典型加载时间如何拆分为:- Domain Lookup 0 0 % Connect 134 .3% Request
我的 .on() 工作时遇到一些问题。我的网站是here . 如果你看看 www.eliteweb-creation.co.uk/dev/js/nav.js,我正在 mouseenter 和 mous
我是 Javascript 的新手,负责将我们产品的 UI 从 YUI2 迁移到 YUI3。看起来哪里都没有迁移指南,所以我现在正在浏览互联网帖子和 yui 文档。 在我的全局范围内,我临时添加了类似
我想和实习生一起测试一些 DOM 相关的东西,不需要特定的固定装置,只是一般的 DOM 东西,比如我改变了 Element.prototype。这是否需要通过本地 Selenium 服务器(或 sau
我是 HTML 和 HTML5 的初学者。 当我阅读以下内容时 link ,我找到了术语 DOM 和 DOM API。我通读了维基百科,但无法理解其背后的全部思想。 谁能给我解释一下: 文档对象模型
我有两个主要问题。 Object 之类的扩展是否算数? 什么是 DOM 包装? http://perfectionkills.com/whats-wrong-with-extending-the-do
对不起查询,原型(prototype),雅虎 YUI,道场在考虑小的时候不吸引我。我想要一个模块化的库,代码尽可能小,最多 20Kb [un compressed] 是我所期望的。应该提供 Dom 操
我是一名优秀的程序员,十分优秀!