发现一个用 vue 开发的网站上线了还是开发环境,这么勇的吗。。

2018-08-13 23:57:50 +08:00
 theyueno
12039 次点击
所在节点    问与答
107 条回复
remon
2018-08-14 09:03:51 +08:00
一切前端来的数据都不可信,这难道不是 web 开发的基本原则。前端校验是用户体验,后端校验才是为了安全,必不可少。别说 js 压缩混淆不行,用 WebAssembly 都不行。

dev 上线最大的问题在于体验,带很多不必要的东西,文件体积也大。而且可能暴露公司代码水平不高,或者像乞丐 VIP 一样偷偷骂人
lneoi
2018-08-14 09:05:03 +08:00
前端接口都暴露着的,安全性问题肯定得靠后端来维护.
前端校验只是出于用户体验,过滤一些太过无意义的信息.
DOLLOR
2018-08-14 09:11:16 +08:00
@yamedie
抱歉,我作为前端开发,我也从来不信前端提交的任何信息。甚至认为,前端提交的信息都是不可信的。你不要“替前端感到不服”,这是客观事实,不服也得认。
前端所谓的“校验”,只是为用户体验而设计的,跟安全关系不大。甚至可以认为,如果不考虑用户体验,前端校验不要也无所谓,后端防范才是必需的。
最危险莫过于“前端校验就安全”这种错误的观念。
panpanpan
2018-08-14 09:11:18 +08:00
作为一个稍有常识的后端程序员在写代码的时候不应该相信前端传过来的任何数据。前端所以的检验都只应该是为了用户体验,尽早的给用户做出提示。
wibile
2018-08-14 09:12:46 +08:00
@yamedie 安全问题从来都是后端的锅,别给前端强行加戏了,这么多人指出来,你还犟啥???
theohateonion
2018-08-14 09:14:17 +08:00
@yamedie 前端的信息永远不是可信的 我做过的项目无论如何都不会省掉后端的校验. 只是一个 dev 包上去了而已. 没必要这么上纲上线吧
yhxx
2018-08-14 09:16:56 +08:00
很常见啊
(我当年不懂 webpack 的时候也干过)

至于楼上那些说这么干很危险的,可能也是不懂前端吧。。。
gouflv
2018-08-14 09:26:20 +08:00
@yamedie 如果你是前端就别不服了,前端在大部分公司都没你想的这么重要,纯前端想有话语权是不可能的。看清楚大环境,前端火热只是自己的小圈子罢了。
开放下思维,做后端或者产品才是出路啊。
PureWhiteWu
2018-08-14 09:26:44 +08:00
你就算直接把接口通过 swagger 暴露给用户都没关系。
后端不要 dev 模式上线即可。
agdhole
2018-08-14 09:28:19 +08:00
前端做校验只有一个功能,提高用户体验,安全是拍脑袋随便想出来的?
belin520
2018-08-14 09:31:26 +08:00
@yamedie #36
前端校验是为了 [用户体验]
后端校验是为了 [安全]

跑 dev 在生产环境并没有实质性的安全影响,性能影响也可以忽略不记
ZxBing0066
2018-08-14 09:32:29 +08:00
体验在前端 安全在后端(除防注入展示类内容)这都能吵起来
。。
beaconfire
2018-08-14 09:34:53 +08:00
@agdhole 还有减少无效请求以减轻服务器压力
yamedie
2018-08-14 09:47:30 +08:00
"永远不要相信用户的输入" 大家把这里的不信用户等同于不信前端, 没关系, 没人否定后端的数据校验必不可少, 这是数据达到数据库的最后一道关口.
说前端校验是为了用户体验, 与安全无关的, 可以了解一下这本书 https://book.douban.com/subject/10546925/ 从第 2 到第 6 张全部是在讲客户端安全,客户端发起的攻击除了表单篡改, 还有跨站攻击,csrf 攻击.
yamedie
2018-08-14 09:48:34 +08:00
@gouflv 好的,我知道. 在公司除了前端还有部分产品设计工作, 我业余也在做全栈项目
whypool
2018-08-14 09:50:41 +08:00
除了文件大点没其他毛病

这都能扯到安全,怕是个假码农
coffeSlider
2018-08-14 10:01:13 +08:00
不明白楼主犟什么,有能力发起攻击的还会在乎前端校验吗?前端能防住普通人瞎搞就行了。
MeteorCat
2018-08-14 10:07:24 +08:00
前端安全远不如后端重要,前端开发用 dev 和 product 都不重要,只是 JS 压缩与否,功能完全没问题。后端没做验证是连服务器都能被黑掉
wyntalgeer
2018-08-14 10:13:34 +08:00
楼主发了个口水贴就跑路了,不明所以的前端小白回复错了,死不认账嘴犟
V 站日常
真是欢乐
我脑子有病回帖
xianxiaobo
2018-08-14 10:54:26 +08:00
前端安全有意义,但是很小很小很小,小到除非你是某些特定类型的公司,不然根本没必要去做。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/479517

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX