gpt4 book ai didi

javascript - 接受 Javascript 生成的表单输入

转载 作者:行者123 更新时间:2023-11-30 10:46:39 25 4
gpt4 key购买 nike

接受来自 JavaScript 的输入通常被认为是不好的做法,因为原则上您不应该相信来自客户端的任何东西。

但这是否也意味着您不能信任下拉框选择等,而无需在服务器上进行验证?您可以在 Firebug 中轻松添加自己的选择选项。

那么,如果我违反了这一最佳做法(因为我不接受信用卡付款或任何对安全至关重要的事情),是否有任何技术可以最大限度地降低出现问题的风险?例如,有没有办法让最终用户更难修改 JavaScript 创建的值?还有,有什么方法可以增加修改下拉框等的难度吗?

最佳答案

一般规则是不要相信来自客户的任何...

这包括 ALL 表单输入,源自 javascript 或其他方式。

始终在服务器端验证和清理传入的数据,否则您可能根本没有任何形式的验证。

一般来说,客户端验证通常是为用户提供便利的功能,并且与数据安全无关

请记住,处理表单不需要 Javascript……您认为垃圾邮件机器人是如何工作的?他们肯定没有启用 javascript...

您想出的任何解决方案都将涉及输入的服务器端验证

您甚至不需要浏览器来提交表单..玩过 cURL 吗?您可以直接从命令行轻松快速地提交您想要的任何原始 POST 数据。

问题不在于它是否是像信用卡这样的敏感信息……它与丢失数据一样多。 您可以接受丢失数据吗?如果是这样,您为什么要首先收集它?

造成破坏是黑客超越个人利益的主要动机,如果他们看到一个简单的目标,并且可以通过一个命令破坏某人的数据,他们可能会试一试。

关于javascript - 接受 Javascript 生成的表单输入,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7967669/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com