私はWebセキュリティとHTML5 required
という単語を入力タグに使用することに懸念しています。私は 'フォーム入力の検証'の一環としてそれを使用しようとしています。入力タグにHTML5「必須」を使用するのは、検証のために信頼できるものか、入力フィールド要件をバイパスしようとするユーザーが簡単に操作できるものですか?はhtml5入力で '安全な検証方法'が必要ですか?
私はhtmlセキュリティに関する情報を検索し、これについてはほとんど見つけませんでした。
ありがとうございました
私はWebセキュリティとHTML5 required
という単語を入力タグに使用することに懸念しています。私は 'フォーム入力の検証'の一環としてそれを使用しようとしています。入力タグにHTML5「必須」を使用するのは、検証のために信頼できるものか、入力フィールド要件をバイパスしようとするユーザーが簡単に操作できるものですか?はhtml5入力で '安全な検証方法'が必要ですか?
私はhtmlセキュリティに関する情報を検索し、これについてはほとんど見つけませんでした。
ありがとうございました
私の意見では、それは効果的な方法ではありません。必須属性は、ブラウザのそのフィールドのinspect要素を使用して簡単に変更できます。 ここでの主なことは、すべてのクライアント側の検証が最初の防衛線ですが、ほとんどの場合、サーバー側で確認するために余分なレイヤーが必要であることに注意してください。 サーバが余分な検証をしておらず、あなたが安全でない場合は、郵便配達員(クロムエクステンション)のようなツールを使ってフォームを使わずに、フォームのアクションフィールドにhttp投稿要求を行うことができます。
要するに、答えはいいえです。クライアント側のコードはセキュリティチェックに頼るのが安全な場所ではありません。
required
を使用する方法では、ユーザーにフィードバックが提供され、より良いユーザーインターフェイスが提供されますが、セキュリティのために、サーバー側に渡されるすべてのデータに対して忠実性チェックを実行する必要があります。建築。
コメントにあなたの質問に答えるためには、フィールドが完全ではなく提出されるのを防ぐための属性がありますが、これは純粋に必要であることをユーザーに知らせるためのものです。ハッカーがマークアップからrequired
属性を削除するだけであれば、とにかくうまくいっていないので、バックエンドチェックでそれを保存できます。
SOには、実証済みの努力と研究を含むかなりの具体的なフォーマットが必要です。重要な点は、重要な問題を実際にターゲットとする方法で質問を構成することです。必要な属性フォーム検証の手段として使用します。 –
私は個人的には、それがクライアントサイドの要素であるため、誰かによって簡単に変更できるので、必要なキーワードだけを使用することはありません。これを確実に行うには、サーバー側でユーザーの入力を検証する必要があります。 –
ありがとう...私は本当になぜそれが必要なのかわからないのですか?しかし、それは私が探していたものです...サーバサイドの安全性が優れています。 – Rod