我最近在网上找资料时,有过这样一个经历。下载的链被一个层遮住了,所以我无法进入那个链接。后来我就启用Firebug工具,找到了那个层对应的代码。因为Firebug可以直接改代码,所以我把那个层的代码删除后,果然可以了。这个让我突然想到了我们开发中没有注意到的细节。
像Firebug一样可以修改代码的工具很多,我知道的还有:Fiddler。所以我们为了保证我们系统的安全及可靠,我们一定要注意这方面的问题。比如:
1、数据验证
现在很多人在做数据验证时,经常会偷懒,他们只在数据提交时通过Javascript开验证数据,而在服务器端不会二次验证。这样我们只要用这些工具可以删除这些数据验证代码,然后提交非法数据,这对我们的系统而言,是个非常严重的问题。
2、权限控制
我曾经做过一个带权限管理的系统,不同角色的用户访问不同页面时,具有不同的权限,当时我的做法是:如果当前用户具体某个操作权限,我就把那个按钮置成可用;否则置成不可用(disable)。现在让我想起来,真是一个非常不正确的方法呀。
现在很多网站都喜欢用锁屏的方式来限制用户的操作。对于我们这些熟悉这些工具的用户来说,一定限制作用都没有的。
这个对Web系统的安全性来说,是件很大的考验,对于设计及开发人员来说,更是注意这些细节,万万不可偷懒。呵呵!
