Cómo evitar que el usuario final de una aplicación web cambie los valores en el tiempo de ejecución de JavaScript

Lo que está pidiendo es una forma de hacer que los objetos JavaScript sean de solo lectura. Esto ha sido posible en ES5 con Object.freeze. Aquí hay un ejemplo:

var o = {'foo': 'bar'};
o.foo; // "bar"
Object.freeze(o);
o.foo = 'baz';
o.foo; // "bar"


Entonces comenzamos con un objeto o que se inicializa para tener una propiedad foo con la bar valor.

Hacemos que el objeto sea inmutable pasándolo al método Object.freeze .

Intentamos mutar la propiedad del objeto con un nuevo valor, pero permanece sin cambios.

Como puede ver, es técnicamente posible evitar cambios a nivel de usuario en su JavaScript confiando en Object.freeze de ES5. Sin embargo, piense mucho sobre lo que realmente está logrando al hacer esto. ¿Qué es lo peor que puede suceder si el usuario altera el entorno de JavaScript en su cliente web personal?

La verdad es que la mayoría de los usuarios de la web no tienen idea de qué es JavaScript, y mucho menos el deseo de modificarlo en sitios web en vivo. La utilidad de cosas como bookmarklets y ciertas extensiones del navegador es que pueden mejorar o personalizar la funcionalidad de un sitio web. El costo de proteger su código puede no valer el beneficio de frustrar los esfuerzos de los usuarios para mejorar o personalizar su experiencia.

Realmente no hay forma de evitar esto. Simplemente está enviando JavaScript desde el servidor al cliente, y el cliente proporciona el tiempo de ejecución. El tiempo de ejecución puede ser cualquier cosa; en teoría, puede ser algo personalizado por el usuario, para hackear su sitio. Siempre debe suponer que cualquier cosa enviada desde el cliente podría haber sido manipulada.

Usted no Incluso si hubiera una manera de evitar cambios de valor en el lado del cliente, las solicitudes de regreso al servidor aún se pueden confundir.

Siempre valide lo que reciba en el servidor para asegurarse de que sea válido. En general, no debería necesitar enviar los datos que recibió del servidor de nuevo, por lo que lo que probablemente necesite validar es la información ingresada por el usuario en el contexto de otros datos que tiene en el servidor.

Re. la pregunta de desbordamiento de la pila vinculada: no creo que la mayoría de las páginas tengan una lista de nombres de usuario en el lado del cliente. Eso no escala bien en absoluto; podría funcionar si tiene dos o tres usuarios, pero comenzará a disminuir cuando tenga dos o tres mil.

Además, el problema con datos como ese es que debe estar actualizado: en una página ocupada, no hay garantía de que nadie más se haya registrado desde que cargó la página, por lo que la lista de nombres quedaría desactualizada rápidamente. Es poco probable que sea un problema, pero podría serlo.

Por lo general, las páginas que verifican si hay un nombre de usuario disponible hacen una solicitud en segundo plano (Ajax, sockets web o lo que sea) después de que el usuario haya ingresado un nombre; el servidor solo necesita decir sí o no, independientemente de cuántos nombres haya almacenado.

No hay manera Incluso si de alguna manera le dice a la página en particular que no permita que se cambien los valores, uno podría copiar el código fácilmente en una nueva página y hacer los cambios mientras está en forma de texto.

Realmente, la única razón por la que se necesita el servidor es por razones de seguridad. Si de alguna manera fuera posible evitar cambios de valor, entonces podríamos permitir que los navegadores se comuniquen directamente con la base de datos y el servidor sería completamente innecesario.