我已看过这个链接:https://www.owasp.org/index.php/Input_Validation_Cheat_Sheet 讨论白名单在下拉菜单中的使用。用白名单清理下拉选项
我没有得到的是,为什么你会在选项列表中使用白名单?
我明白你为什么会使用它的用户的输入像你的名字等输入,但我不明白你为什么会使用它的选项,用户没有实际打字的东西。
还是我刚才读这个错误?
我已看过这个链接:https://www.owasp.org/index.php/Input_Validation_Cheat_Sheet 讨论白名单在下拉菜单中的使用。用白名单清理下拉选项
我没有得到的是,为什么你会在选项列表中使用白名单?
我明白你为什么会使用它的用户的输入像你的名字等输入,但我不明白你为什么会使用它的选项,用户没有实际打字的东西。
还是我刚才读这个错误?
您假定他们将使用您的表单发布到表单处理器,但事实并非如此。
除此之外,很容易使用例如萤火虫修改下拉列表中的值,并在此之后发布表单。
用户仍然可以修改Dropbox中的数据并将数据提交到您的页面。这就是为什么。
您永远不能相信从外部(用户,数据库等)进入应用程序的任何输入。如果你想写一个安全的应用程序,你需要始终验证输入。 – hakre 2012-04-10 18:05:34