我最近在搞一个 django 本地服务器项目,我有一个像这样的输入
<form....{% csrf_token %}
....
<input type="text" value="foo" readonly />
....
</form>
现在输入的值应该保持我想要的方式(“foo”),但是我使用了 google chrome inspect 并且能够更改只读输入的值并将新值传递给服务器,这保存了错误的值。
所以我有几个问题:
防止此类安全风险的一般规则或心理 list 是什么?
我也可以像这样使用 JavaScript 控制台和损坏数据吗?更新:是的。那么我基本上必须在服务器端进行所有检查吗?
如果对 3 为否,那么不受 html/js 检查员保护的客户端验证是什么?
编辑:
根据目前的答案,我猜对 3 的回答是肯定的。所以我还应该为客户端安全/检查而烦恼吗?它们真的会让我更安全还是只是一种虚假的安全感(这很糟糕)?我是否应该进行客户端检查以可能在服务器端保存一些检查,这样我的性能可能会更好? 基本上:我应该进行多少客户端检查?
最佳答案
出于安全考虑,您不能在客户端回复 Javascript 或任何内容。只需确保您的服务器是安全的。
例如,您可以直接远程登录到端口并将适当的数据发送到服务器。这将通过 Javascript(或任何其他技术)在客户端阻止和检查。
只需使用 Javascript 即可使用户在客户端上的体验更愉快、响应更快。请勿出于安全目的使用它。
关于javascript - 防止来自 html 检查器的安全风险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15295200/