通过浏览器编辑Js和Html文件 - 客户端

Question

我想了解每个人可以通过浏览器编辑哪些文件，以了解在客户端运行某些代码的风险。
例如我在一个位点（在铬）看到：

灰度文件是只读文件和黄色一个可以被编辑。
我的问题是：

1.黄色和灰色有什么区别？为什么灰色只读？
2.是否仍有可能以其他方式编辑灰色图片？也许不通过浏览器？什么是编辑客户端文件的选项？
3.哪些文件可以编辑，哪些不能？（js，css，html，aspx ...什么是所有选项）
4.是否有办法知道是否有人更改html或js文件并查看他做了哪些改变？保存更改的日志或类似的东西？

Answer 1

假设我们谈论的是标准的Web使用情况而不是安全漏洞，用户可以编辑和更改发送给他们的任何内容，并且用户可以将他们喜欢的任何内容发送回服务器。在您的服务器上运行的任何代码都不能由您的用户编辑，并且在用户浏览器中运行的任何代码都很容易由您的用户编辑。当用户使用您发送的数据混淆时，无法记录日志。除非我们正在谈论安全漏洞，否则用户无法更改服务器上的文件，因为它们所做的任何编辑仅适用于其本地副本。

实际上，这意味着您不能相信在客户端运行的任何代码的结果（js，html，css），因此您应该将所有安全敏感逻辑保存在服务器端代码中（aspx，等）

这是为什么客户端验证是不够的，一个安全的Web应用程序相关的问题： Why is client-side validation not enough?