由于不应该信任来自客户端的任何信息,因此通常认为接受来自JavaScript的输入通常被认为是不好的做法。接受Javascript生成的表单输入
但是,这是否也意味着您不能相信下拉框选择等,而无需在服务器上验证它?您可以轻松地在Firebug中添加自己的选择选项。所以,如果我违反了这个最佳做法(因为我不接受信用卡付款或任何安全关键因素),是否有任何技术可以最大限度地减少问题风险?例如,是否有方法让最终用户更难以修改JavaScript创建的值?当我们处理它时,是否有任何方法来增加修改下拉框等的难度?
所有的数据不是来自服务器的客户端数据 – Teneff
我认为无论您如何接收数据,我总是需要在服务器端验证数据。因此,用户可以将任何他想要的内容发送给您的应用程序,然后阻止它。 – 2011-11-01 14:12:09
攻击者只是用tamperdata或burp修改http请求,修改论坛的自我太麻烦了。 – rook