纯后端码农,前端小白,好奇咨询,对于一个敏感应用系统,适合使用 vue.js (浏览器端渲染)+REST 架构吗?

个人想到的两个风险:

第一,作为单页面应用( SPA ),每个人都能拿到全量的前端代码(哪怕是加密后的)。如果敏感应用系统具有多级别、多角色管理功能,使用者通过对源代码进行反编译,或者通过挡板接口返回假数据的方式,低权限级别用户可以获知高级别用户的操作功能。

第二,前后端分离架构下,通过反编译理论上可以获知应用系统的全部后端接口,甚至连接口调用参数理论上都能从前端源码中得知。

所以,这种情况下还适合使用前后端分离+浏览器端渲染架构吗,有没有啥对应的防护措施?

最新回复 (8)
  • ztstillwater4月前
    引用2
    这得多敏感才值得对方搞反编译?
  • mawenjian楼主4月前
    引用3
    @ztstillwater 比如金融应用系统,每天流水大几十亿那种
  • renmu4月前
    引用4
    你指得是内部人员分析?
    就算知道了接口和参数又能怎么样
  • duanxianze4月前
    引用5
    这和前端用啥有啥关系,你不用前后端分离你说的这些问题就不存在了吗?再说了,前后端分离也是可以按需加载代码啊
  • xedsurf4月前
    引用6
    被逆向好像是前端都无法避免的问题,调试台里面能看到所有网络活动,想知道参数还是很容易的。重要的是后端要做好保护机制吧
  • ochatokori4月前
    引用7
    你不同权限的页面可以分文件出去,请求静态文件时带上令牌做鉴权就可以了
  • mawenjian楼主4月前
    引用8
    @renmu 挨个接口搞攻击啊,只要试的足够多,总有有漏洞的
  • mawenjian楼主4月前
    引用9
    @duanxianze 当然,如果不用前后端分离,可能只有一个页面加载以后,才知道下一步提交的 url 是多少,这样很难拿到接口的全集,变相增加了攻击难度。

    @xedsurf 是的,对后端的要求更高了,暴露的风险也变大了。

    @ochatokori 好主意。简单搜了下,这样单页面应用就变成了多页面应用了吧?在做前端页面的时候,就需要结合所属角色或者所属功能放到不同的单页面中去,或者更极端点儿,每个页面一组文件;还要在服务器增加鉴权等配置,需要前后端结合。如果访问量不是很大,这种场景是不是加一层 nodejs 做服务端渲染更合适一些?
  • 回复请 登录 or 快速注册
返回