【问题标题】:Preventing from manipulation of disabled fields using developer tool防止使用开发人员工具操作禁用字段
【发布时间】:2019-08-06 09:45:53
【问题描述】:

托管基于 ASP.NET MVC 和 Angular 的企业 Web 应用程序供外部用户访问。我们遇到了这样一个场景,比如用户可以操作禁用字段中显示的值并使用浏览器开发人员工具提交。例如(1) 车辆名称、描述等的输入字段在编辑模式下被禁用,但用户可以使用开发工具将只读字段属性设置为可编辑,并将实际值操作为其他内容。

类似地,例如(2) 客户详细信息通过 ID 从 Cust db 中获取并显示在屏幕上。客户详细信息预计将保存在另一个数据库中,并输入更多详细信息,但用户使用开发工具编辑只读客户字段并提交。

作为一种解决方案,在每次提交的检索值和发回值之间引入服务器端验证似乎不是正确的方法。

那么,如何保护只读或静态值不被浏览器或其他开发工具操纵?

【问题讨论】:

    标签: asp.net-mvc angular validation user-interface


    【解决方案1】:

    作为一种解决方案,在每次提交的检索值和发回值之间引入服务器端验证似乎不是正确的方法。

    与您似乎相信的相反,这解决方案。

    您无法阻止用户制作自己的 HTTP 请求。您无法阻止用户按 F12 并向您发送垃圾。您可以自行决定是否允许用户更新他们发送给您的数据,以及是否允许他们读取他们请求的数据。

    客户端验证对您的用户有好处;服务器端验证是绝对必要的。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2015-02-14
      • 2017-09-12
      • 2019-07-13
      • 1970-01-01
      • 2015-02-27
      • 1970-01-01
      相关资源
      最近更新 更多