Задать вопрос
@luckyjenro0
websocket

Как предотвратить подключение к WEBSOCKET через внедрение кода в браузер?

У меня запрос идет следующим образом:

JS:
let data = {
    type: 'бла',
    param_1: 123,
    param_2: 321,
}


type - это мой внутренний идентификатор какие данные надо получить или отправить, думаю это понятно.

PHP: 
$wsWorker->onMessage = function ($connection, $data) use ($wsWorker) {
    global $db;

    $data = json_decode($data);

    switch ($data->type) {
        case 'buy_premium':
        //Code...
        break;
        case 'secret_case':
        //Code...
        break;
    }
}


Так вот если юзер через браузер вставит свой код и обратиться к secret_case (Название узнает или угадает), то у него же все получиться? Как это предотвратить?
  • Вопрос задан
  • 130 просмотров
4 комментария
Подписаться 1 Простой 4 комментария
Пригласить эксперта
Ответы на вопрос 2
alexey-m-ukolov
@alexey-m-ukolov
если юзер через браузер вставит свой код и обратиться к secret_case (Название узнает или угадает), то у него же все получиться? Как это предотвратить?
Проверять на бэкенде, что у этого конкретного пользователя есть доступ к этим конкретным данным в этот конкретный момент. Если нет доступа - данные не отдавать. Если доступ есть - не переживать.

И веб-сокеты, оказывается, к вашему вопросу не имеют почти никакого отношения.
Ответ написан
1 комментарий
1 комментарий
@rPman
код веб приложения в браузере - open source, любой может его открыть, прочитать, проанализировать и модифицировать, включая подстановки вызовов через консоль или плагины к браузеру.

не существует адекватной гарантирующей защиты, позволяющей скрыть от пользователя эту информацию.

наиболее эффективная из имеющихся - это обфускация кода, запутывание его на столько что затраты на его анализ станут неподъемно дорогими (достаточными чтобы не было смысла этим заниматься).

Еще способы решения, выполнять критичную логику на сервере, а клиент пусть будет просто отображением, вырожденный случай - на сервере запускается приложение а на клиент транслируется ее изображение, само собой на практике на столько сильно переносить код на сервер не обязательно.
Ответ написан
3 комментария
3 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Senior Frontend разработчик
VINTEO Краснодар
от 250 000 до 300 000 ₽
Flutter-разработчик (middle+, senior)
Asgard Technologies Москва
До 320 000 ₽
Backend Teamlead
Тетрика Москва
от 250 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Специалист по телеграм
05 мая 2024, в 04:55
12000 руб./за проект
Название проекта: Бот Telegram для автоматизации судебных приказов
05 мая 2024, в 02:15
30000 руб./за проект
Десктоп приложение для добавления товаров на Python
05 мая 2024, в 01:43
5000 руб./за проект
Ещё заказы