SSR（Server-Side Rendering），也就是服务器端渲染，是一种在服务器上生成网页的技术。在传统的前端开发中，页面通常是在客户端（浏览器）通过 JavaScript 动态生成的，而 SSR 是由服务器在接收到请求后生成完整的 HTML 页面，然后将其发送给客户端进行展示。

使用SSR（Server-Side Rendering） 技术将后端返回的数据进行隐藏，通常是通过服务端在页面渲染时处理数据，避免将敏感信息暴露在客户端。下面我们就来介绍一下如何通过SSR技术实现对于服务端数据的隐藏。

在服务端渲染前过滤敏感数据

我们在服务端生成页面时，可以将必要的数据嵌入到HTML中，这样敏感信息则不会传输到客户端。例如：

• 服务端获取完整的数据。
• 在渲染前过滤掉敏感的字段，只将需要展示的数据传递给页面。
• 将过滤后的数据嵌入到 HTML 模板中，并返回给客户端。

如下所示。

// 伪代码：在 Node.js/Express 后端过滤敏感数据
app.get('/some-page', async (req, res) => {
    const completeData = await getDataFromDatabase(); // 包含敏感信息
    const filteredData = filterSensitiveData(completeData); // 去除敏感信息
    res.render('pageTemplate', { data: filteredData }); // 渲染页面，只返回过滤后的数据
});

后端 API 分离

我们可以将后端API数据的接口与前端渲染操作进行分离，然后将敏感数据保留在后端，在前端通过验证后端 API 的权限和请求合法性，返回给特定用户，如下。

• 前端只获取基础页面，不包含具体的业务数据。
• 页面加载完成后，通过经过认证的 API 请求获取前端需要展示的数据。

如下所示。

// 服务端返回基础 HTML，不含数据
app.get('/some-page', (req, res) => {
    res.render('pageTemplate'); // 只返回基础 HTML，不包含敏感数据
});

// 前端使用认证 API 获取数据
fetch('/api/data', { headers: { Authorization: 'Bearer token' } })
    .then(response => response.json())
    .then(data => {
        // 在前端渲染数据
        renderDataOnPage(data);
    });

这种方式通过控制 API 的访问权限来保护敏感数据。

仅在服务端渲染关键内容

通过服务端渲染的一个重要特点就是，所有HTML内容在服务端生成后返回给客户端，而不需要在客户端进行额外的JavaScript渲染，这样我们可以把需要隐藏的逻辑完全放在服务端来进行处理。

• 在服务端渲染时生成页面的所有内容，不让前端 JS 处理敏感数据。
• 通过模版引擎（如 EJS、Pug 等）在服务端生成静态 HTML。

如下所示

// 在服务端渲染页面，并且直接嵌入数据
app.get('/dashboard', async (req, res) => {
    const data = await getDataFromDatabase();
    res.render('dashboard', { data }); // 数据直接嵌入模板，客户端无法访问额外数据
});

结合前后端分离模式

一种更复杂的方案是通过结合SSR和前后端分离技术来实现。在这种模式下，后端服务负责主要的页面结构渲染，而具体数据通过专用API提供，这样可以有效地隐藏后端逻辑和敏感信息。如下

• 初始加载时，后端渲染页面，渲染的是基础布局和不涉及敏感数据的内容。
• 数据请求与前端交互时，调用安全的 API，根据用户的权限控制数据返回。

如下所示。服务端返回初始的HTML

<html>
<head>
    <title>Dashboard</title>
</head>
<body>
    <div id="app">
        <!-- 静态内容 -->
        <h1>Welcome to Dashboard</h1>
        <div id="data"></div> <!-- 数据通过 API 动态填充 -->
    </div>
    <script src="app.js"></script> <!-- 前端脚本 -->
</body>
</html>

前端 JS 文件 (app.js) 调用 API 获取数据，如下所示。

fetch('/api/dashboard-data')
  .then(response => response.json())
  .then(data => {
      document.getElementById('data').innerText = JSON.stringify(data);
  });

利用 SSR 预渲染（仅对静态数据）

对于一些静态数据，可以通过SSR预渲染页面，但对于敏感动态数据，只通过API调用来加载。例如使用Next.js这样的框架，可以通过getServerSideProps在服务端获取数据，并根据用户权限返回特定的数据，隐藏敏感信息。

总结

通过上面的这些方式，我们就可以有效的在使用SSR技术时实现对后端返回的敏感数据的隐藏操作，这样就可以确保数据安全。但是在选择具体的方案时，需根据项目的实际需求来决定。