Как защитить от консоли в браузере?

Question

[Sergo Sergo]

Здравствуйте. У меня на сайте есть создание подключения к socket.io. Но его можно обойти и создать подключение через консоль хрома, то есть в консоли написать:
var socket = io('http://localhost:2500');
И дальше уже можно выполнять запросы к серверу и обходить код который был написан мною, пример:

var socket = io('http://localhost:2500');
socket.emit('add_message', { mes: 'привет', user_id: users_id });

Answer 1

[D']

Т.е ВСЯ логика и проверка прав происходит на клиенте?
Гениальное решение, продолжайте в том же духе.

От этого нельзя защититься. Совсем. Абсолютно. Точно.

Comments

[Sergo Sergo]

да все все, я допер и переделываю все. :D

Answer 2

[Илья]

Правильно структуру приложения надо было делать. В таком случае я могу не только из консоли браузера посылать, но и использовать любой другой инструмент. Защититься от этого никак нельзя, кроме переделыванием логики приложения.

Answer 3

[Александр Золотых]

Добавлять подписи в параметры сообщения, сам код минифицировать. Это не даст 100-% гарантии, но усложнит поиск решения. Делать лимит отправки на сервере, т.е. подозрительная активность, права отправки определенных сообщений, или определенным адресатам, и т.д.

Comments

[Sergo Sergo]

то есть добавлять зашифрованный код, который потом на сервере расшифровывается?

[Александр Золотых]

Sergo Sergo: нет, код просто минифицируется - становится сжатым, переменные сокращены в названиях, что делает код неудобочитаемым для анализа человеком. В сами сообщения вставлять подобие подписей/хэшей, которые провряются на сервере, что явно усложняет работу с данной функцией лицом не имеющим четкого представления вашего алгоритма.

Answer 4

[_ _]

Делаете middleware для socket.io, который проверяет наличие токена при отправке сообщений или subscribe.
Токен отправляете с сервера при успешной авторизации