在本文中,我们将解释如何使用无代码工具构建安全的Web应用。这是非常重要的,因为如果你发布的应用泄露个人信息或允许未经授权的人员修改你的数据库,将没有人愿意使用你构建的应用。许多无代码开发者失败的原因在于他们没有意识到这些漏洞,或者没有花时间学习这些Web开发的最佳实践。
当用户访问你的Web应用时会发生什么
在用户访问网页时,他们的浏览器会下载一堆文件和数据,包括HTML、CSS样式、Javascript、图片等。当用户与页面交互时,他们的浏览器会做出反应。例如,浏览器可能会执行一些Javascript来改变按钮的颜色,或者向后端发起API调用以获取用户的个人信息。所有这些信息都是可访问的,即使你在页面上看不到它。而且,如下面的例子所示,如果信息存在,黑客最终会找到它。因此,控制你在用户浏览器中提供的信息类型至关重要,无论这些信息是否在页面上显示。
构建安全Web应用的四个步骤
1. 在后端过滤敏感数据
保护个人数据的第一步是避免在前端加载它。记住,所有过滤到前端的信息都可以在用户的浏览器中访问。即使他们在页面上看不到它,也可以通过浏览器检查器访问它。
解决方案:设置后端过滤器,确保只发送相关数据到用户的浏览器。
2. 限制用户访问
安全Web应用的第二步是添加用户身份验证,以限制用户可以查看或修改应用中的内容。如果不这样做,黑客可能会看到你为查看数据集合所做的API调用,并猜测他们需要做出的调用来编辑数据库中的该集合。
解决方案:通过保护API端点或整个数据库表来防止用户查看或编辑数据。
3. 添加访问控制检查
黑客可以在浏览器中看到你做出的API调用。如果唯一的保护是用户身份验证,那么黑客只需创建一个帐户、登录,然后尝试访问其他人的数据。
解决方案:通过使用UUID使猜测用户ID变得更加困难,并确保用户只能查看自己的数据。
4. 防止权限升级
黑客首先要做的事情就是让自己成为你的应用的管理员。一旦他们成为管理员,就可以更容易地做任何想做的事情。
解决方案:将配置文件更新页面和管理页面分开,保护管理页面,不要让它对所有人可见,并为配置文件更新页面和管理页面创建单独的API端点。在这些端点中,添加一个函数来检查用户是否具有管理员权限。如果没有,前端将从后端收到一条错误消息。
遵循上述四个步骤,你将能够构建一个用户可以信赖的专业Web应用。