以ejs模板的形式使用“只读”元素是否安全?
我想知道是否有任何带有只读元素的脚本可以通过绕过进行编辑。我正在练习使用以下脚本的ejs模板。人们建议我不要执行此操作,并说它可能不安全。
例如;
<input
type="text"
id="name"
name="name"
class="form-control"
value=<%= name %>
readonly/>
值中的名称将是数据库中的默认值。即使是不可编辑的名称,任何恶意行为者也有可能编辑该名称吗?或者,如果我使用了禁用元素,我该如何发布值?我想知道是否有任何解决方法。
您能否请教?谢谢。
回答如下:是,如果您直接从此输入发送值,则用户可以删除只读部分并更改值。这会导致不良结果。1.您可以为要发送的值创建一个短期Session []。2.您可以从要发布的地方调用它。 (因此,输入字段和您在其中输入的值之间将没有链接。İnput字段仅用于查看。您也可以删除它,也可以将只读更改为Disabled。
我的观点2> 1。