Вопрос по безопасности проекта с Vue.js. Безопасно ли???
Всем привет...в настоящий момент как и многие сижу на самоизоляции и изучаю vue+laravel.
Laravel я более менее знаю...в js не так опытен. Вопрос заключается в следующем - посмотрел я одного гуру по laravel на youtube. Вообщем там такая фишка - при создания компонента vue вводится проверка прав gate.js export default class Gate{ constructor(user){ this.user = user; } isAdmin(){ return this.user.type === 'admin'; } isSuperadmin(){ return this.user.type === 'superadmin'; } isUser(){ return this.user.type === 'user'; } isAdminOrAuthor(){ if(this.user.type === 'admin' || this.user.type === 'author'){ return true; } } isAuthorOrUser(){ if(this.user.type === 'user' || this.user.type === 'author'){ return true; } } Причем данные по типу пользователя перехватываются из вида @auth <script> window.user = @json(auth()->user()) </script> @endauth Т.е. по сути данные видны в коде страницы <script> window.user = {"_id":"5e81de982c606819a00021f6","id":1,"name":"Vital","type":"user","photo":"profile.png","updated_at":"2020-03-31 11:00:55","created_at":"2020-03-30 11:57:12"}</script> Вопрос - может ли пользователь отправлять запросы со станица site/user подменяя свой тип на "type":"admin" ? |
Пользователь может отправить что угодно, независимо от клиентского кода и даже без кода вовсе.
За безопасность отвечает исключительно сервер, который должен проверять любые входящие данные. Я не знаю laravel, но как в любом кобайне там наверняка все проверки уже встроены. |
Часовой пояс GMT +3, время: 16:47. |