web数据安全——防篡改
在工作过程中遇到需要防止前端传到后端的数据被篡改,故了解总结一下相关内容。
篡改的两种方式:
1.第三方篡改
意思是说在数据由用户发到服务器的途中,数据被第三方篡改,造成发送的数据和接收的数据不一致,防止此类情况的发生的常用做法如下:
1)将要提交的参数先做加密
2)然后把加密的信息做一次md5摘要,也就是签名
3)然后把摘要连同参数一起回传给服务器
4)服务器拿到参数后,同样的方式加密做md5摘要
5)两个摘要做对比,如果不相等参数便是被篡改了,否则可信。
2.用户自行修改
其实这种方式不能算作被篡改,因为是用户自己修改的,并且是在发送数据前修改 的,这样发送和接收双的都是相同的数据,但是可能是不是期望的数据。
例如,一个充值页面,用户点击了充值10元的按钮,在提交前,F12把10改为10000,那么实际上发送的数据是10000,后台接收到的数据也是10000,那么这个值是没有被篡改的,但是不是期望的(对于服务端)。
对于这种修改方式,无法通过加密等手段进行验证,只能通过业务逻辑进行验证。比如要删除一篇文章,只能在业务层保证用户是删除的自己的,而不会通过修改id等方式删除了别人的。对于上边充值的例子也可以在业务逻辑上验证是给当前用户自己充值并是由当前用户支付的,这样付款的还是自己,就没有什么问题了。
对于F12进行数据修改也有响应的解决办法,可以监听浏览器一些事件来阻止用户修改。例如禁止右键查看源码,禁用F12键,在可能被修改的元素数据被修改后重新载入页面等等。
以下一篇文章是方式用户F12的方法: