后端可以知道前端按钮是通过用户点击的还是通过调用 click()点击的吗?

2022-01-11 19:46:11 +08:00
 ljsh093
2295 次点击
所在节点    前端开发
12 条回复
IvanLi127
2022-01-11 20:19:51 +08:00
这主要取决于前端知不知道
Mutoo
2022-01-11 20:26:18 +08:00
ch2
2022-01-11 20:35:08 +08:00
前端检测也有可能被 hook 掉
wunonglin
2022-01-11 20:38:28 +08:00
#2 的方法是可以的。但是至于你的数据会不会被伪造那就是另一个问题了
lxml
2022-01-11 20:52:10 +08:00
这种检测,后端的一切信息来源都是来自前端的输入,跟虚拟机检测一样,就是斗法,看警察和小偷谁的手法更高明了
hronro
2022-01-11 21:49:44 +08:00
先说你的需求吧,你这想法感觉是被带偏了的
lxxiil
2022-01-11 22:18:00 +08:00
如果有,逆向前端 js 代码就可以解决
gauzung
2022-01-11 22:19:16 +08:00
正常直接调用 click 方法,e.isTrusted 为 false ,但有其他方法让它为 true ,比如浏览器插件
ljsh093
2022-01-11 23:47:41 +08:00
@hronro 对前端不了解,就是怕用户端跳过了前端验证
shyangs
2022-01-12 00:08:15 +08:00
@ljsh093

後端不應該相信前端驗證. 所有驗證都要由後端做.
also24
2022-01-12 00:15:17 +08:00
前端代码可以通过 Event.isTrusted 字段进行判断。

但是:
即使获取到了这个字段,事件本身可能已经是被拦截后修改的;
即使事件本身没有被拦截后修改,前端代码自身可能已经被修改了;
即使前端代码自身没有被修改,向后端发送的数据也可能被拦截和修改...

即使已经考虑了以上种种修改:
用户可以通过自己编译一个 isTrusted 永远为 true 的浏览器来绕过;
用户可以从系统层面伪造鼠标点击事件来绕过;
用户可以从硬件层面伪造 HID 设备来绕过;
用户可以………… 雇一群人来手动点击绕过......

以上,你觉得自己的用户肯做到哪一步,就防范到哪一步就好。
mineralsalt
2022-01-12 00:38:47 +08:00
送你一句后端永恒的真理: "永远不要相信来自客户端的任何数据"

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/827658

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX