🖥️ Клієнт і сервер

Дві сторони кожного сайту

Будь-який сайт має дві частини:

• Клієнт (frontend) - те, що працює у твоєму браузері: HTML, CSS, JavaScript. Усе це завантажується до тебе, тож ти бачиш і можеш змінити будь-що
• Сервер (backend) - те, що працює на чужій машині, у компанії. Туди ти доступу не маєш; бачиш лише те, що сервер сам віддав

Між ними - HTTP-запити: клієнт просить, сервер відповідає.

Головне правило безпеки

Усе, що на клієнті, - під контролем користувача. Ти можеш змінити HTML, підправити запит, підмінити значення поля чи параметра, відредагувати куку. Тому сервер не має довіряти жодним даним із клієнта - він мусить усе перевіряти сам.

Коли цього не роблять, з'являються вразливості: змінив параметр - дістав чуже; підмінив роль у запиті - став адміном. Майже всі веб-атаки починаються тут: «а що, як я зміню те, що сервер вважав незмінним?»

Спробуй

У симуляторі побачиш, що відбувається на клієнті, а що на сервері - і які дані ти можеш змінити перед відправкою.