web数据安全—防篡改_前后端防止数据篡改的做法

在工作过程中遇到需要防止前端传到后端的数据被篡改，故了解总结一下相关内容。

篡改的两种方式：

1.第三方篡改

意思是说在数据由用户发到服务器的途中，数据被第三方篡改，造成发送的数据和接收的数据不一致，防止此类情况的发生的常用做法如下：

1）将要提交的参数先做加密

2）然后把加密的信息做一次md5摘要，也就是签名

3）然后把摘要连同参数一起回传给服务器

4）服务器拿到参数后，同样的方式加密做md5摘要

5）两个摘要做对比，如果不相等参数便是被篡改了，否则可信。

PS：如果想要更安全的数据加密，可以用RSA 算法加密。

2.用户自行修改

其实这种方式不能算作被篡改，因为是用户自己修改的，并且是在发送数据前修改的，这样发送和接收双的都是相同的数据，但是可能是不是期望的数据。

例如，一个充值页面，用户点击了充值10元的按钮，在提交前，F12把10改为10000，那么实际上发送的数据是10000，后台接收到的数据也是10000，那么这个值是没有被篡改的，但是不是期望的（对于服务端）。

对于这种修改方式，无法通过加密等手段进行验证，只能通过业务逻辑进行验证。比如要删除一个产品，只能在业务层保证用户是删除的自己的，而不会通过修改id等方式删除了别人的。对于上边充值的例子也可以在业务逻辑上验证是给当前用户自己充值并是由当前用户支付的，这样付款的还是自己，就没有什么问题了。

对于F12进行数据修改也有响应的解决办法，可以监听浏览器一些事件来阻止用户修改。例如

1. 禁止右键查看源码，禁用F12键，禁用shift+ctrl+i键。
2. 只要修改页面元素就重新加载数据，但只适用于展示数据，如果和用户有交互的页面使用不了，因为用户每次修改数据都会导致重新加载页面。
3. 在可能被修改的元素数据被修改后重新载入页面等，但这个工作量非常大，首先要总结出来哪些是能修改的数据，在记录下来，在发送数据之前判断是否被用户修改了，这种方法也仅适用于非用户填的。

个人建议：如果想要数据安全做到很好，前端和后端都要花时间做安全验证，如果只是防止用户自行修改的，可以禁用浏览器控制台调试工具。