- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
在一些 SO 答案中建议使用以下方法作为将经过身份验证的用户详细信息从后端 (PHP/Laravel) 传递到前端 (JavaScript/Vue) 的方法。不过,我想确认一下它的安全性。
<script>
window.App = {!! json_encode([
'user' => Auth::user()
]); !!};
</script>
假设详细信息确实包含用户生成的输入(如姓名和用户名),使用这种方法将经过身份验证的用户详细信息传递给 JavaScript 是否存在任何安全隐患? JavaScript 代码能否安全地处理此数据以授权用户操作和/或将任何此数据输出为 HTML?
或者用户在注册期间可以在名称/用户名字段中输入任何可能破坏此代码/造成安全问题的内容吗?在将 json_encode()
的输出传递给 JavaScript 之前对其输出进行清理有什么好处吗?
编辑
例如,假设我从服务器获取此数据,使用 json_encode()
将其传递给 JavaScript,然后使用 JavaScript 在 HTML 中输出用户名。如果允许用户在注册期间在名称字段中输入任何内容(最多一定的字符限制),是否可以以任何方式利用此漏洞?
最佳答案
“JavaScript 代码能否安全地处理此数据以授权用户操作”- 永远不会,因为它是客户端的,并且根据定义不在您的控制之下。授权在服务器端完成。
“或者用户在注册期间可以在名称/用户名字段中输入任何可能破坏此代码/造成安全问题的内容?” - json_encode
转义字符,以便您拥有的输出 JSON 的任何数据都是有效的。
“将任何这些数据输出为 HTML?” - 不。您需要为 HTML 输出清理数据。 json_encode
不知道 HTML 是什么。
“在将 json_encode() 的输出传递给 JavaScript 之前对其进行清理有什么好处吗?” - 这不是在语言层面决定的,而是在应用层面决定的。如果允许用户输入任何字符,那么您有责任确保他们无法以恶意方式利用该字符,因为只有您知道应用程序如何使用该数据。
“但是,我想确认一下它的安全性。” - 它与您了解在不同上下文之间传递数据的含义一样安全。在这种情况下,您传递的数据在服务器端上下文中是“安全的”,但在传递到客户端上下文时未经检查可能不“安全”。
TLDR:在不知道您正在使用这些数据做什么的情况下,没有人能给您满意的答案。只需将其作为 <script>
插入响应中会很安全。根据您的处理方式,在客户端使用所述数据可能不安全。
这里有一个例子说明为什么不清理数据是不好的:https://jsfiddle.net/v7pxn48j/如您所见,JSON 没有任何问题,但将其中一些解释为未净化的 HTML 是错误的。
关于javascript - 将 Auth 用户从 PHP/Laravel 传递到 JavaScript,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57334435/
主要问题是可以从已保存的 Auth 对象设置零 Auth 对象: let oldAuth = Auth.auth().currentUser let oldAuthId = Auth.auth().c
何时使用 this.afAuth.auth.signInWithCredential 在我的 Ionic 应用程序中一切正常。我可以使用 Google 身份验证登录并将用户个人资料推送到 fireba
我想在启动时使用我的测试用户帐户预加载 firebase auth 模拟器,就像我对 Firestore 模拟器及其导入/导出选项所做的一样。我尝试在模拟器运行时使用 auth:import 和 au
我正在尝试通过创建 Firebase DataService 来 DRY 我的应用程序,但我不知道为 Auth.auth() 转换什么类型。我查看了源代码定义,但它在我不理解的 Objective C
我有一个更新用户个人资料图片的组件:。我有第二个组件检测用户状态的变化:。问题是,在执行updateProfile()之后,没有触发auth.onAuthStateChanged()。因此,我得到了老
我正在使用 Facebook Javascript SDK,并且正在调整我网站的用户登录系统。我想知道 auth.login/auth.logout 和 auth.sessionChange 之间有什
目前,我正在完成Daniel Kehoe的Learn Ruby on Rails教程。练习之一是使用Google的Gmail帐户从“联系人”页面发送联系人表格。 但是,当我发送联系表格时,没有在邮箱中
我在我的应用中使用 Firebase Auth。我更新电子邮件如下: firebaseAuth.currentUser?.updateEmail(email) 电子邮件正在 100% 更新(必要时我也
在我的应用程序中,当我第一次让用户加入时,我会让他们登录并确认这有效,并且他们会获得一个用户 ID。但稍后在我的 Storyboard 中,我调用了 Auth.auth.currentUser.uid
我是编程新手,我正在尝试从 firebase 数据库中读取数据。我从 Firebase 手册中得到这段代码,我想知道术语 uid,AUTH.auth() 在这里是什么意思。它是一个变量吗?我从 fir
已结束。此问题不符合 Stack Overflow guidelines .它目前不接受答案。 我们不允许提出有关书籍、工具、软件库等方面的建议的问题。您可以编辑问题,以便用事实和引用来回答它。 关闭
背景 我构建了一个连接到 Authorize.net 支付网关的电子商务应用程序。管理员可以通过以下方式处理信用卡: 管理员立即从客户的信用卡中扣款的“捕获”交易。 “仅授权”交易,管理员从信用卡中授
我正在使用 dj-rest-auth ( https://dj-rest-auth.readthedocs.io/en/latest/ ) 并尝试实现自定义注册表单。当我尝试注册新用户时,我有基本表单
我们正在使用 Azure Web App Easy Auth,并使用 Web App 作为反向代理,将流量转发到 Angular 应用程序。 角度应用程序使用/.auth/me 并使用 token 并
我有一个 Controller 和一个如下所示的 View ,它在一段时间内工作完美,但是在向服务器发出一些请求后(即每秒重新加载一次),它将在此行失败 if (!$this->tank_auth-
我希望在单个 Web 应用程序中,部分部分使用身份验证,部分部分完全开放(或者更具体地说,不使用基于容器的身份验证)。 使用基于容器的身份验证的应用程序部分位于 URL /而打开的部分位于 URL /
只要我按下按钮调用 signOut 方法,当前 View Controller 就会被关闭。但是,注销过程是成功的。 (我正在使用 FirebaseAuth SDK。) 这是我的代码: @IBActi
对于Firebase iOS,如果我想做用户认证,这3个选择有什么区别吗? FirebaseUI FirebaseUI/授权 Firebase/授权 如果有人可以解释使用“预构建”FirebaseUI
我正在使用 Vue-auth 包来验证我的 vue-cli 应用程序。一切正常,但当我在我的 vue 操作中访问此代码时,它返回 undefined。有什么想法吗? const AuthService
所以我正在使用 Laravel 身份验证,第一次它工作正常,但删除 Auth 文件夹后,我再次运行 php artisan make:auth 但它不会创建另一个 Auth 文件夹。 View 和模型
我是一名优秀的程序员,十分优秀!