|
介紹幾個繞開JS驗證的方法(服務(wù)器端驗證是必要的)
繞開前端的JS驗證通常有以下的方法:
方法一: 將頁面保存到自己機器上,然后把腳本檢查的地方去掉,最后在自己機器上運行那個頁面就可以了
方法二: 該方式與方法一類似一樣,只是將引入js的語句刪掉,或則將引入的js后綴名更換成任意的名字,就OK
方法三: 在瀏覽器地址欄中直接輸入請求URL及參數(shù),發(fā)送get請求,就可以了
方法四: 在瀏覽器設(shè)置中����,設(shè)置禁用腳本
繞開前端的驗證的方式有很多種���,因此在系統(tǒng)中如只加入前端的有效驗證�,而忽略服務(wù)器端驗證,是一件很可怕的事情���;但如果只有服務(wù)器端驗證就那么服務(wù)器端的負(fù)擔(dān)會加重����,因為前端驗證可以保證大部分請求是有效��,友善的����;所以我們應(yīng)該在自己的系統(tǒng)中將其這兩種驗證方式結(jié)合起來使用;
如果客戶端禁用了 javascript 那如何進(jìn)行驗證?
服務(wù)端是必須進(jìn)行驗證的����,這是最后一道防線,馬虎不得���。舉個例子:如果服務(wù)端不驗證���,那么完全可以在任何連接互聯(lián)網(wǎng)的地方重寫一個沒有JS驗證的表單,然后提交給你網(wǎng)站的程序���,后果可想而知�����,幾乎就是自由出入
客戶端的JS驗證其實質(zhì)是提升用戶體驗�,可以讓用戶提前知道填寫資料的對錯,否則等到一提交��,再返回個錯誤�����,把原來填的都清空了�,那就抓狂了
根據(jù)Javascript優(yōu)雅退化的原則,頁面要在禁用JS的情況下仍然能夠正常使用����。雖然可能用戶體驗差了點,少了某些效果�����,但基本的功能都還是可以實現(xiàn)的
所以�����,不要過分地依賴JS��,服務(wù)端該驗證的還得驗證
寫服務(wù)器程序,給你一個提醒:不要相信任何客戶端數(shù)據(jù),
JS只是一個輔助驗證,是為了減輕不必要的提交,比如提交大堆數(shù)據(jù)過去,發(fā)現(xiàn)有一個數(shù)據(jù)不合法,這樣豈不是浪費服務(wù)器資源?
但服務(wù)器端的是少不了這些驗證的,因為提交者可能不是瀏覽器,即一些模擬發(fā)送工具.
|
