当我仍然必须使用PHP时,为什么我还要花时间使用JavaScript进行表单验证,因为用户可以关闭JavaScript支持.
不是没必要吗?
好的,谢谢你的回答.将它放在客户端也是个好主意.我在哪里可以下载良好的JavaScript验证?
你知道在注册帐户时我可以在雅虎下载哪个验证脚本吗?
我正在按照MVC模式创建一个Web应用程序.
在有效的Java中,作者提到在创建新对象时验证类的构造函数中的参数.
但是我没有创建一些将由第三方使用的API.我的类只接受表单输入字段中的参数,这些参数在提交给服务器之前已经过验证.
所以在这种情况下,我应该按照作者在Effective java中提到的方式创建我的类,否则它是无用的?
我尝试在我的一个表单中实现reCAPTCHA,...但我使用ajax作为提交.(更具体地说是原型ajax.updater)
一旦我提交并错误检查我的表单,我尝试加载reCAPCHTA小部件(在我更新的div元素中),它基本上只调用一个javascript文件,如下所示:
<script type="text/javascript" src="http://api.recaptcha.net/challenge?k=6Le6SwUAAAAAAIWm8wCRFd8SrI-H0R1Yx4Tkw2Ks"></script>
但是JS文件没有被读取?...我已经尝试了evalScripts的所有组合:true和evalJS:'force'等在ajax.updater .....但是我不认为我有一个非常好理解为什么js文件没有处理:(
如果有人能对这个问题有所了解,我将非常感激.
谢谢,安德鲁
在PHP Web应用程序中阻止或阻止JavaScript注入所需的措施是什么,以便不提供敏感信息(PHP,HTML/XHTML和JavaScript中的最佳实践)?
我不太明白为什么客户端验证是一个潜在的安全风险或更多的安全风险而不是服务器端验证?有人可以给我一些场景吗?
当然,我知道服务器端验证是必须的.
我正在使用jQuery来验证表单输入并使用jquery ajax同时进行服务器端(PHP)验证.所以我猜它可能是安全的,因为它在启用javascript时验证双方.
好吧,这是我的问题......
但是如果用户在他的浏览器上禁用了javascript,并且有些坏人试图通过编辑我的客户端脚本来做坏事怎么办?
因为我正在通过jquery ajax进行服务器端验证,并且我打算不在php脚本中直接验证它们(action ="some.php"),甚至启用了用户的javascript.
那么......它还安全吗?
抱歉我的英文不好,希望你不介意.
security validation client-side-validation server-side-validation
使用验证器同时使用客户端验证(JavaScript)和服务器端验证的论点是:如果客户端浏览器不支持JavaScript,则用户无法使用客户端验证.
我的问题是这个论点在实践中有多好?理论上它是有道理的,但在实践中,如果在浏览器中禁用JavaScript,那么大多数网站功能都无法工作.用户可能甚至无法在没有JavaScript的情况下加载页面,更不用说提交表单了.
javascript validation web-applications client-side-validation server-side-validation
我有以下 ajax 调用,它检查用户是否是付费会员,如果是,则相应地运行某些功能。这可行,但我担心安全性。如果有人在控制台中更改此 ajax 代码,强制#button成功运行功能而无需执行任何操作,该怎么办?我可以在仍然使用 jQuery ajax 的同时阻止这种情况吗?
$('#button').click(function() {
$.ajax({
url:'checkplan',
type:'POST',
success:function(data){
if(data == 'paid')
//grant access and run some functions
}
})
我们正在构建使用基于位置的定价的服务.用户可以输入地址并查看其区域中的价格,这由各种服务器端算法确定.然后可以根据这些价格订购商品.
我想知道在这种情况下我们是否可以使用客户端地理编码(以避免达到Google Maps API使用限制),例如用户输入他的地址,浏览器使用JS库获取地理编码结果并将其包含在表单提交中.问题是用户可能会篡改表单提交,并可能将订单下达到他的地址,以获取适用于不同坐标集的价格.
我想听听你对如何确保这一点的建议.例如,如果地理编码结果可以某种方式签名以验证它没有被篡改,那将是惊人的吗?
可能重复:
为什么客户端验证不够?
同时使用这两种验证的目的是什么?因为如果javascript验证成功,在服务器上验证表单输入是额外的负担.我们不能使用标志并根据javascript验证是否成功来设置或取消设置其值?如果设置了标志值,我们将跳过php验证.这不可能吗?如果不可能,你能解释一下有效的现实生活中的例子吗?或者用户是否可以修改标志的值,即使我们在标头中传递它?
等待一些合乎逻辑的答案.
谢谢.
我在和一个人聊天,他说像Angular,Vue或React这样的框架有一个很大的缺点:除了API部分(与服务器上的数据库交互)之外,所有其他代码都可以从前端看到,因此任何人都可以窃取您的应用程序。
javascript ×8
validation ×5
php ×3
security ×2
ajax ×1
angular ×1
forms ×1
geocoding ×1
google-maps ×1
java ×1
jquery ×1
prototypejs ×1
reactjs ×1
recaptcha ×1
vue.js ×1