前台页面
提示:永远不能相信来自用户输入的任何信息,必须假设发送给用户的任何代码都可以被操纵或绕过,因此没有不可能的级别。
意思就是说,只要token是在客户端生成的,不论你的代码有多复杂,用户永远有办法操纵或者绕过它,因此,token的生成一定要在服务器端。
另外,其他的关键代码也不要写在客户端,因为这样很容易被攻击者利用,非常不安全。
DVWA-14.4 JavaScript(JS攻击)-Impossible
原文:https://www.cnblogs.com/zhengna/p/12795526.html