我想很多人都知道,鼠标右键点击一个网页的时候,弹出的菜单中有一个 查看源码 的功能!
打开后可以看到页面生成的HTML代码、CSS代码、以及JavaScript代码,我觉得浏览器这种做法让程序变得很不安全!
上述说的查看源码还仅仅是查看,下面说到的F12开发者工具就更不合理了,居然可以编辑HTML源码!
比如以下场景:根据权限,将一个提交按钮设置成了隐藏状态style="display:none;"
正常情况下,用户是看不到这个按钮的
然而通过F12开发者工具提供的编辑功能,只需通过修改CSS样式style="display:inherit"就可以显示出这个按钮
如果后台没有再进行二次权限验证,此时这种状态就可以正常提交了,完全绕过了权限控制
哪怕控制权限的时候不是通过CSS隐藏按钮,而是直接去除按钮的HTML代码,用户仍然可以通过浏览器提供的F12开发者工具手动输入一段提交按钮的代码既可以提交表单
上述说的这些问题都是经过测试并确实可以实现的功能
很不明白为什么浏览器为什么要提供这样的功能?
可以查看HTML源码就觉得挺诡异,居然还可以编辑HTML源码,实在想不明白为什么要这么做,浏览器开发商不是应该一起帮助开发者保护程序安全吗?