安全性

• 一個(gè)賬號(hào)登陸后，可以查看所有的賬戶信息

1.例如：
張三登陸了A網(wǎng)站，然后張三想查詢李四在A網(wǎng)站的信息，比如李四有哪些愛好（假定A網(wǎng)站是做聊天，可以查看
有多少好友），如果網(wǎng)站是登陸后用js控制入?yún)?，張三點(diǎn)擊我的信息，然后回顯張三賬號(hào)，點(diǎn)擊確定，然后可以
看到好友信息，那么從頁(yè)面操作沒有任何問題，若是通過爬蟲個(gè)抓取，自由入?yún)ⅲ敲磫栴}嚴(yán)重了，可以查詢?nèi)?意信息
2.分析原因：
  這種問題，主要是過于依賴js控制入?yún)?，?shí)際上js是可以屏蔽的，方法非常多，其中爬蟲可以完全不走js、
chrome的Reres插件，可以屏蔽替換js
那么問題就出現(xiàn)了
3.解決方法：
  所有登陸后的查詢操作，尤其是查詢敏感信息，一定和個(gè)人賬號(hào)綁定，以防止出現(xiàn)張三查詢到李四的信息
4. 具體方法：
  方法可能很多，我只想到，把入?yún)⒖刂破饋?lái)，控制到后臺(tái)，如果查詢信息，那么默認(rèn)是當(dāng)前用戶，在后臺(tái)入?yún)?查詢時(shí)，默認(rèn)入?yún)埲馁~號(hào)

后記：

• B/S架構(gòu)的網(wǎng)站入?yún)⒉荒芴蕾噅s，因?yàn)閖s展示在前端，可以完全看到源碼的思路及實(shí)現(xiàn)，對(duì)于破解網(wǎng)站入?yún)⒁?guī)則來(lái)講，非常不利