Simplemente reitera la regla más básica de la seguridad en Internet: nunca confíe en nada del cliente (también conocido como capa de presentación, navegador, etc.). Dado que la "capa de presentación" opera en un sistema externo (es decir, la computadora de la persona que navega por su sitio web), el servidor / sitio web no tiene control sobre lo que sucede allí y, por lo tanto, no puede confiar en nada de lo que dice. Como resultado, debe volver a verificar todo por sí mismo. Un ejemplo debería ayudar.
Imagina que tienes un portal de usuarios, y hay un portal de administración que es solo para los usuarios que han recibido permiso. La capa de presentación "impone" esta restricción de acceso simplemente no muestra un enlace a la sección de administración si no es un administrador. Esto, por sí mismo, no es un control de acceso suficiente. El propio servidor tiene que hacer cumplir ese control de acceso y denegar el acceso al sistema de administración a cualquier persona que no sea un administrador. Si no lo hace, entonces cualquier usuario puede acceder al sistema de administración simplemente escribiendo su ubicación en su navegador y automáticamente obtener acceso al sistema de administración. Este es un ejemplo simple, pero también el más común:
- Capa de presentación: no muestra enlaces a áreas que el usuario no tiene
acceso a
- lado del servidor: rechazar una solicitud a un área que el usuario
no tiene acceso a
Si solo haces lo primero, tienes un problema.
Así que ese es el breve resumen. El servidor no puede confiar en nada de lo que dice el navegador porque un atacante tiene control total sobre lo que dice el navegador (de hecho, es posible que ni siquiera estén usando un navegador, sino que simplemente simulen serlo). Por lo tanto, el servidor tiene que verificar todo por sí mismo.