Q&A
防ぐとはどういうことですか?abcdという文字列を使いたいけどユーザには見られたくない、ということでしょうか?
PHPで得た値をJavascriptで使いたいとします。
このとき
lang
1<?php $hoge = 'abcd'; ?> 2 3<script type="text/javascript"> 4 var hoge = <?php echo json_encode($hoge); ?>; 5 console.log(hoge); // abcd 6</script> 7
みたいなコードを書くと、
HTMLをソースでひらくと
lang
1 2<script type="text/javascript"> 3 var hoge = "abcd"; 4 console.log(hoge); // abcd 5</script> 6
とabcdがソースに出ますが、これを防ぐにはどうすればいいのでしょうか?
abcdがソースに出なくしたいです。
Javascriptをファイルにしてユーザーが開けなくしたらいいのしょうがやり方がわかりません。
そうです。
可能なのでしょか?
私が考えるのは、PHPで文字列エンコードしてJSにそれを渡す。そのあと関数内部でデコードする。更にそのJSのファイルもエンコードすることですが他にありませんか?
エンコードとかデコードってなんのことです?暗号化と言いたいのでしょうか?エンコード、デコードに暗号化という意味は含まれませんよ。
そうです。間違えました。すみません。
回答3件
0
abcdという文字列をユーザに見られたくない!ということでしたら**「どうあがいても不可能」です。
JavaScript上で扱う変数はデバッグツールでも使えばあらゆる変数の中身が見えます。例えHTMLに直接埋め込まず、外部JSに書いたり、Ajax等でabcdという値をサーバから取ってきたとしても、デバッグツールを使えばjsファイルも見えますし、通信内容も丸見えですし、受け取ったあとの変数を覗けばabcdという文字があることがわかります。
クライアント側(JavaScript側)には見られてもよいもの**しか置くべきではありません。そのabcdを使って処理をするのはサーバ側に任せるべきです。
追記
abcdを暗号化しても無駄です。abcdを使うために暗号を復号するコードがJavaScript側にある以上、暗号化して受け渡す意味は全くありません。
あくまで「素人に対するガード」にはなりますが、それなりの実力を持つ攻撃者にはほぼ無意味な行為と思ってください。
投稿2017/11/29 08:10
編集2017/11/29 08:17総合スコア9206
0
ベストアンサー
ajaxを使い、ページが読み込まれたらPHPにアクセスし、値だけを取得していくのがいい感じですね。
jQueryを使っているのであれば、
$.ajax({ type: 'POSTまたはGET', url: 'PHPのアドレス', data: 渡すデータを連想配列で入れる, dataType: 'レスポンスタイプ(json,textなど)', }).done(function(json){ // 返ってきた値をコンソールに表示 console.log(json); });
投稿2017/11/29 08:06
総合スコア2004
0
逆にソースにないものは表示できないと思いますが?
妥協点としては、hogeをajaxで別口で受け取ることでしょう
投稿2017/11/29 08:06
総合スコア114779
あなたの回答
tips
プレビュー
