|
介紹幾個繞開JS驗證的方法(服務器端驗證是必要的)繞開前端的JS驗證通常有以下的方法: 方法一: 將頁面保存到自己機器上,然后把腳本檢查的地方去掉,最后在自己機器上運行那個頁面就可以了 方法二: 該方式與方法一類似一樣,只是將引入js的語句刪掉,或則將引入的js后綴名更換成任意的名字,就OK 方法三: 在瀏覽器地址欄中直接輸入請求URL及參數(shù),發(fā)送get請求,就可以了 方法四: 在瀏覽器設置中,,設置禁用腳本 繞開前端的驗證的方式有很多種,,因此在系統(tǒng)中如只加入前端的有效驗證,,而忽略服務器端驗證,,是一件很可怕的事情;但如果只有服務器端驗證就那么服務器端的負擔會加重,,因為前端驗證可以保證大部分請求是有效,,友善的;所以我們應該在自己的系統(tǒng)中將其這兩種驗證方式結(jié)合起來使用,;
如果客戶端禁用了 javascript 那如何進行驗證?
服務端是必須進行驗證的,,這是最后一道防線,馬虎不得,。舉個例子:如果服務端不驗證,,那么完全可以在任何連接互聯(lián)網(wǎng)的地方重寫一個沒有JS驗證的表單,然后提交給你網(wǎng)站的程序,,后果可想而知,,幾乎就是自由出入 客戶端的JS驗證其實質(zhì)是提升用戶體驗,可以讓用戶提前知道填寫資料的對錯,否則等到一提交,,再返回個錯誤,,把原來填的都清空了,那就抓狂了 根據(jù)Javascript優(yōu)雅退化的原則,,頁面要在禁用JS的情況下仍然能夠正常使用,。雖然可能用戶體驗差了點,少了某些效果,,但基本的功能都還是可以實現(xiàn)的 所以,,不要過分地依賴JS,服務端該驗證的還得驗證
寫服務器程序,給你一個提醒:不要相信任何客戶端數(shù)據(jù), JS只是一個輔助驗證,是為了減輕不必要的提交,比如提交大堆數(shù)據(jù)過去,發(fā)現(xiàn)有一個數(shù)據(jù)不合法,這樣豈不是浪費服務器資源?
但服務器端的是少不了這些驗證的,因為提交者可能不是瀏覽器,即一些模擬發(fā)送工具.
|
|
|
