Du bör inte logga in på en kantig sida eftersom allt relaterat till data hanteras av javascript som enkelt kan stoppas, felsökas och analyseras.
Det bättre sättet skulle vara:
- Skapa en normal index.php som presenterar ett inloggningsformulär för användaren.
- Kontrollera giltighet med din databas vid inlämning.
- Om användaren är giltig starta en session och
header
vidare till den faktiska vinkelappsidan. - Det enda sättet att kontrollera om detta är en giltig
php session
finns i dinREST
samtal via vinkelhttp
tjänst till dina databasrelaterade php-skript. - Så varje läs-/skrivåtkomst till ditt
REST api
bör kontrollera om den här användaren verkligen får göra den här db-operationen i php-skriptet. - Om kontrollen misslyckas,
header
tillbaka till inloggningssidan eller något "Har du!" sida.
På så sätt kan angriparen se js-koden för vinkelappen (om han på något sätt får tag i den faktiska adressen) men det är helt värdelöst för honom, eftersom han aldrig kan se den faktiska informationen så länge han inte hade startat en giltig php session
. Och data är det du vill skydda, inte appens skript.
I ett nötskal:Blanda standard PHP-validering OCH Angular. Tillåt haxorer att komma till din sida, men aldrig, aldrig visa dem någon av dina underliggande data. Så fort någon försöker bråka med din data, sparka ut honom.
Det här är nästan samma svar som jag gav här
Sök efter de markerade nyckelorden i både PHP och Angular-webbplatser för att förstå tanken bakom detta.