サーバー上にあるファイル「x.txt」の内容をユーザーが見られないようにしています。
これまでのところ、私は次のことを行ってきました。
ユーザーが.htaccessを使用してファイルに直接アクセスすることをブロックしました
私のページの1つは、ajaxリクエストを使用してファイルのコンテンツを取得し、変数に保存します。
ユーザーの入力は、if(x == y)ステートメントを介してファイルの内容と比較されます。
サイトのユーザーがこの機密データにアクセスできる可能性はありますか?
回答:
回答№1は1ajax呼び出しがデータを取得できる場合、不正またはカスタマイズされたスクリプトも同じAJAX呼び出しを介してデータを取得し、それが唯一のAJAX呼び出しがそのデータを取得しているかを見るためにあなたのウェブページで基本を見てとることができます。または、Chrome開発者ツールを開いてネットワークタブを見るだけで、ブラウザが行ったすべてのajax呼び出しの内容を見ることができます。
さらに、使用方法を知っている人はブラウザーデバッガーは、コードが実行するもの(変数へのajaxコンテンツの保存など)を監視できるため、ネットワーク上の暗号化でさえ、受信ブラウザーにいるユーザーのデータを見ることはできません。
サーバーデータをセキュリティで保護する場合は、別の設計が必要になります。
ユーザー入力とテストの安全な方法 サーバー上の秘密は、クライアントデータをサーバーに送信し、サーバーにクライアントデータをサーバーマスターと比較させ、サーバーデータをクライアントに送信しないようにすることです。
パスワードのように考えてください。 マスターパスワードをクライアントに送信せず、クライアントにユーザーが入力したものを比較させます。代わりに、クライアントが入力したものをサーバーに送信し、サーバーに安全に比較させます。これと同じアプローチでデータを保護します。