Ciao.
Come posso rendere sicura la parte che riguarda il login di un utente?
Questo blocco di codice si trova nella pagina login.html
"mJSON", contiene i dati di accesso
function requestClient(mJSON) {
var response = 0;
let xhttp = new XMLHttpRequest();
xhttp.onreadystatechange = function () {
if (this.readyState == 4 && this.status == 200) {
response = xhttp.response;//--- Qui è molto facile bypassare l'autenticazione
if(response == "LOGGATO"){
location.replace("/Content/choose.html");//-- Qui l'indirizzo è visibile. Questa è la pagina dell'utente
}
if(response == "ERRORE"){
notice();
}
}
};
xhttp.open("POST", "/LoginOrSignjs/logDb/login.php?q=" + mJSON, true);
xhttp.send();
response è la risposta del server che può essere facilmente bypassata con
response="LOGGATO"
ed in oltre è visibile l'indirizzo
location.replace("/Content/choose.html");
a cui puoi accedere, solo con l'autenticazione
Basta aggiungerlo all'url e bypassi l'autenticazione.
Non so come si fanno per bene le cose