目前从server request到资料后存在页面上变量，达到判断login的作用，但无法避免使用者直接输入网址导向，没有用server side，可只用javascript去ban吗，或有取得url列的function吗

有想用wondow.location但登入后导向过去又会导回

即使能，你敢相信别人电脑上js的结果吗

登入只能靠后端处理

后端跑不掉，敏感资讯本来就该透过后端处理

密码存在server上request到页面上变量只是不能改后端不是没后端

使用者把javascript关掉，不就破功了

顶多不能登入，但有网站没用到js吗

网站用js顶多储存一个存取权杖值，实际上密码都放后端不会放在JS上让大家都看的到改的了如果我会JS，我去看原始档或开发者模式就知道密码啦~简单做登入有两种方式，一种是密码送出后在服务器端储存登入状态，使用者只要开着浏览器不要闲置太久就会一直是登入状态，而JS没有特别储存什么资讯在前端另外一种是登入后服务器发出一个Key，这个Key存在cookie中，是利用使用者资讯做出来的一组文字，每次登入都不一样，每次做任何要求服务器都用这个Key检查你是不是登入这样的方式即使使用者关闭浏览器或闲置过久也不会登出就像FB那样你登入一次到登出为止会一直是登入状态无论哪个方式，密码只有在你第一次输入时存在网页上登入后就再也不会出现在网页上了

上面有写到密码是从后端取上来，不存在js上

我的意思就是说正统来说密码不要再取出来，进去就消失了只有登入要检查帐号密码，之后都不需要密码