【常见问题】JS和PHP结合做的刮刮乐

巨推传媒官方解答

2016-11-29

不知道我理解的对不对；你好像是刮刮乐出现的时候，中奖结果就已经暴露出来了，然后监听用户挂的动作，来显示一个中奖信息的弹层，这样好像不太安全。建议：刮刮乐展示出来的时候，是一个唯一加密串。将一个大的刮刮乐用几十个正方形组成。这样当用户点击了多少个正方形后你能计算出来。(比如点击了10个后，发起后端请求)这时候发起ajax请求，把刮刮乐的唯一加密标识带给后端，后端计算中奖结果。之后返回到前端。(发起后端ajax请求，一定要验证加密标识)前端接收结果后，不管用户刮完没刮完，都把全部的正方形阴影部分显示出来。然后弹出ajax返回的中奖信息。不知道理解的对不对，有问题追问~！追问这个中奖信息是从数据表中随机获取，再传回前端的，这样也会有安全隐患吗？追答太大的安全问题，我暂时还没想到。不过很不合理。1.传统角度讲，现实中也是刮了后用户才知道中奖没有，你这还没刮，信息就有了。人家就可以通过脚本直接抓取中奖信息。2.如果你一个页面展示多个刮刮乐，让用户选，这时候你怎么办。用户都知道那个是能中奖的。3.一个刮刮乐，只对应一个唯一的标识，如果用户刮过后，这个标识就过期，再也不能刮了。而你的设计，是不能做到这一点的。所以，你要有加密验证和失效状态