我关心的是为安全起见,在浏览器中关闭Javascript的客户端。我的web应用程序严重使用jQuery验证,AJAX等。如何处理客户端关闭Javascript?
我的同事建议我也在服务器端进行验证。但是我在客户端也有一些显示/隐藏效果,例如,如果复选框被选中,将立即显示一个隐藏表。我知道设置autopostback = true
,我也可以得到同样的效果。 但是,没有冲突吗?
我不知道有多少客户端浏览器不支持Javascript。我的同事也说有人可以修改javascript来绕过验证。随着服务器端的会话云化,这种破解是否可能,这是否有意义?我的web应用程序是.net 3.5项目。我只是不知道如何说服他。任何建议是高度赞赏!
服务器端验证**总是**比在客户端进行验证更安全。任何人都可以关闭Javascript,输入恶意数据,然后将其提交给服务器而不检查它。在处理用户输入时总是假设最坏的情况。 – Wylie 2011-06-15 20:27:06
黑客不会使用您的表单向您的服务器提交数据。他们会使用他们自己的方法。服务器端验证是100%必须的。 – 2011-06-15 20:28:18