[英]How to prevent hackers from modifying the product price in e-commerce
我確信這是一個非常普遍的問題,但我在網上找不到任何關於它的信息。 我有一個不同產品價格的電子商務網站。 然后我使用 Javascript 來計算總價,但是我應該將每個定價值存儲在哪里以避免被黑客入侵?
我遵循的一個教程建議通過自定義屬性將價格添加到 HTML 文件中的每個項目,例如 data-price="100"。
這很方便而且有效,但我也聽說黑客基本上可以篡改 HTML 表格中的任何值,那么如何防止他們將價格更改為 1 而不是 100? 在 Javascript 文檔中定義值會更安全嗎? 或者別的地方? 最佳做法是什么?
太感謝了!
永遠不要相信客戶。
如果他們想訂購 27 個自密封閥桿螺栓,每個成本 5 quatloos,那么您的 JS 可能會告訴他們這將花費 135 quatloos,但您永遠不應該相信他們的瀏覽器。
瀏覽器應該告訴您的服務器他們正在訂購 27 個自密封閥桿螺栓。
由服務器決定最終的收費金額。
當他們付款時,您應該將支付的金額與服務器計算的費用進行比較。
通常,在客戶端計算產品價格是一種應避免的做法。
避免攻擊的最好方法是不在客戶端計算任何與金錢相關的東西,而是從服務器獲取信息。
也許您可以實現一個流程,在交易過程中的給定點調用服務器以獲取價格,最初顯示計算出的價格(來自您的 javascript)。
編輯:只回答。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.