关于javascript向服务器提交正确数据的安全性
我想知道用户是否可以在页面上编辑javascript 例如,如果javascript中的submit按钮事件处理程序具有如下条件:关于javascript向服务器提交正确数据的安全性,javascript,html,security,Javascript,Html,Security,我想知道用户是否可以在页面上编辑javascript 例如,如果javascript中的submit按钮事件处理程序具有如下条件: if (!txtName.match(/^[\w ]+$/)) { alert("Please use only letters, numbers, underscores and spaces in your name."); return; } 我是否还必须验证服务器上的名称,或者我是否可以相信无法将不正确的名称发送到服务器?基本上,用户可以操
if (!txtName.match(/^[\w ]+$/)) {
alert("Please use only letters, numbers, underscores and spaces in your name.");
return;
}
如果不是,是否可以使用数据包注入来提交无效名称?我对安全不太了解,所以我只是好奇这些问题。。。。好的,谢谢 始终在服务器端进行验证。您永远不应该信任发布到服务器上的数据,这可能会导致严重的安全风险。始终在服务器端进行验证。您永远不应该信任发布到服务器上的数据,这可能会导致严重的安全风险。您还必须执行服务器端验证。正如您所指出的,注入信息的方法有很多种。首先,他们可以关闭Javascript。或者,他们可以拦截和修改网络请求
客户端应仅用于补充而不是替换服务器端验证。您还必须执行服务器端验证。正如您所指出的,注入信息的方法有很多种。首先,他们可以关闭Javascript。或者,他们可以拦截和修改网络请求 客户端应仅用于补充而不是替换服务器端验证 我还必须验证服务器上的名称吗 对 或者我可以相信不能向服务器发送不正确的名称吗 没有 基本上,用户可以操纵javascript来绕过这种检查吗 操纵 关掉 当涉及到验证时,它只能用于节省用户时间(但避免服务器往返),而不是安全性 数据包注入是否可用于提交无效名称 对 不过,手动构造HTTP请求要容易得多 我还必须验证服务器上的名称吗 对 或者我可以相信不能向服务器发送不正确的名称吗 没有 基本上,用户可以操纵javascript来绕过这种检查吗 操纵 关掉 当涉及到验证时,它只能用于节省用户时间(但避免服务器往返),而不是安全性 数据包注入是否可用于提交无效名称 对 不过,手动构造HTTP请求要容易得多。可能重复多个重复问题中的一个问题可能重复多个重复问题中的一个问题