2017-05-31 8 views
1

私はWebセキュリティとHTML5 requiredという単語を入力タグに使用することに懸念しています。私は 'フォーム入力の検証'の一環としてそれを使用しようとしています。入力タグにHTML5「必須」を使用するのは、検証のために信頼できるものか、入力フィールド要件をバイパスしようとするユーザーが簡単に操作できるものですか?はhtml5入力で '安全な検証方法'が必要ですか?

私はhtmlセキュリティに関する情報を検索し、これについてはほとんど見つけませんでした。

ありがとうございました

+0

SOには、実証済みの努力と研究を含むかなりの具体的なフォーマットが必要です。重要な点は、重要な問題を実際にターゲットとする方法で質問を構成することです。必要な属性フォーム検証の手段として使用します。 –

+0

私は個人的には、それがクライアントサイドの要素であるため、誰かによって簡単に変更できるので、必要なキーワードだけを使用することはありません。これを確実に行うには、サーバー側でユーザーの入力を検証する必要があります。 –

+0

ありがとう...私は本当になぜそれが必要なのかわからないのですか?しかし、それは私が探していたものです...サーバサイドの安全性が優れています。 – Rod

答えて

1

私の意見では、それは効果的な方法ではありません。必須属性は、ブラウザのそのフィールドのinspect要素を使用して簡単に変更できます。 ここでの主なことは、すべてのクライアント側の検証が最初の防衛線ですが、ほとんどの場合、サーバー側で確認するために余分なレイヤーが必要であることに注意してください。 サーバが余分な検証をしておらず、あなたが安全でない場合は、郵便配達員(クロムエクステンション)のようなツールを使ってフォームを使わずに、フォームのアクションフィールドにhttp投稿要求を行うことができます。

2

要するに、答えはいいえです。クライアント側のコードはセキュリティチェックに頼るのが安全な場所ではありません。

requiredを使用する方法では、ユーザーにフィードバックが提供され、より良いユーザーインターフェイスが提供されますが、セキュリティのために、サーバー側に渡されるすべてのデータに対して忠実性チェックを実行する必要があります。建築。

コメントにあなたの質問に答えるためには、フィールドが完全ではなく提出されるのを防ぐための属性がありますが、これは純粋に必要であることをユーザーに知らせるためのものです。ハッカーがマークアップからrequired属性を削除するだけであれば、とにかくうまくいっていないので、バックエンドチェックでそれを保存できます。

関連する問題