前端如何做好安全这块？

1. 上 https
2. 将参数用服务端提供的公钥加密后再传输

主要问题还是在后端，不如让后端重新考虑一些问题？

@CodingMonkey
有上 https

将参数用服务端提供的公钥加密后再传输，这个我得好好了解下

@ranxfan
知道主要总是在后端，但我想知道下，前端能够做的有哪些

是不是逻辑漏洞 前后端都得考虑

@madNeal
逻辑这块是没问题的，主要是传参这块，在微信支付的时候是分离的。

前端按我的理解是，没法做安全，只能提高成本。

每笔都付 1 分钱? 后端开发得背锅啊, 你们接口难道是把商品的 price 作为入参, 由前端传入后台?

@Colorful 感觉是拦截请求，然后修改参数提交啊

@madNeal 对的，就是这样的，所以我想知道前端这块怎么做安全

这和前端有个毛线关系。人家直接构造参数调后端接口，关前端 P 事。

要不把请求参数全部加密吧……费力不讨好

前端需要注意的安全问题包括：

1、会话不能被窃取或伪造。因为所有的请求都可以通过 F12 看到，所以不能在请求参数当中带上用户 ID 之类的，否则用户换一个 ID 就能冒充其他用户。

2、页面内容注入和跨站点攻击。其实这当中有一部分是需要后端来防范，但前端也需要注意脚本方面的安全。比如不要引用非 HTTPS 的外部资源。

3、权限方面的安全。首先后端开发时刻都要把一条原则放在心上，就是任何请求和会话都是可以不经浏览器直接构造的，所以后端的接口设计应该尽可能保守，参数应该尽量少。而前端也需要在这点上配合，不能为了图自己开发方便而要求后端接受多余的参数。

这个和前端没多大关系
甩锅给后端吧
前端能做的很少

跟前端没有半毛钱关系

@Colorful 老实说 像这种 主要还是后端还要做验证 感觉这个漏洞利用的思路可能是这样 它请求支付 让后修改了支付价格 然后你们收到了微信支付的成功的响应，就认为支付成功了，应该做进一步的校验。
前端可以做的，我觉得主要也就是配合后端一起做，防 XSS，CSRF 这种的，注重逻辑这一块吧

请求加 signature，后端不能无条件相信前端返回数据。

无疑是后端的锅，前端的安全，有心搞你，基本都能摸索出来。

总之是接口参数定义的有问题, 应该只传商品 ID 就可以, 但你们鬼使神差的由前端决定商品价格

@Colorful 前端没啥好做的（上 https，请求参数签名），但是并无作用，完全可以分析你的代码，伪造请求。
你的问题看似是服务端没有验证微信支付收到的金额，完全相信前端发的数据。