这是一个还没有直接被问到的问题..
我为一家每年为数百万网络客户提供服务的公司开发。我们的许多 Web 应用程序都是多年前编写的(并且实践不佳),它们完全依赖于 java 脚本来使页面正常工作,最显着的是 Web 表单验证。
最近,我们一直在实现 noscript 标签,以便在用户不使用 javascript 时将他们重定向到错误页面。
我很难说服任何人为什么服务器验证应该与客户端验证一起进行,而不是使用 noscript,因为现在 99% 的用户都使用启用了 javascript 的浏览器。
此外,添加开始和结束标签以及重定向可以在 5 秒内完成,而服务器验证需要更多的时间和金钱。
你有什么想法??
如果除了 1% 的用户只需要启用脚本之外,我们现在没有脚本,那么服务器验证的真正优势是什么?
最佳答案
您应该始终进行服务器端验证。时期。没问题。您永远不应依赖客户端进行验证。假设一个机器人或其他东西使 POST 都绕过了 JavaScript 和 noscript
标签。没有服务器端验证的一件事是它也打开了 sql 注入(inject)攻击。
关于javascript - 没有脚本标签与服务器端验证?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6125965/