为了防止非法信息的提交,一般都会用js先验证一遍,万一服务器端验证不远不如js完全,那么攻击者可以绕开我们的js验证提交数据吗?
可以直接在浏览器中实现吗?有没有一种浏览器或工具,可以禁止js中一些与验证相关的关键字或函数的执行,却不禁止一些动作(如提交)的执行,以达到绕开验证正常提交的目的?
如果有这样的工具,那么我们在客户端的验证再严密不都是徒劳吗?
可以直接在浏览器中实现吗?有没有一种浏览器或工具,可以禁止js中一些与验证相关的关键字或函数的执行,却不禁止一些动作(如提交)的执行,以达到绕开验证正常提交的目的?
如果有这样的工具,那么我们在客户端的验证再严密不都是徒劳吗?
所以说光靠客户端的js验证是不可靠的.
那平时干脆在处理危威时少在js上下功夫得了,多在服务器端想想,客户端仅仅用来减少错误信息的提交。那么 那个Fckeditor好像有很多东西都是由js处理安全问题而并没有通过服务器端处理(可能我没注意到),那不很危险。Fckeditor安全吗?用它好像不能屏蔽掉SQL注入吧,屏蔽SQL注入还真麻烦,貌似屏了那些东西后,自己想在文章里写那些东西时可能带来麻烦一样(我没试过,不太清楚)