很多时候我们都有JavaScript在客户端做验证,比如必填选项,格式验证等,如果不合法则不让表单提交。但是对于重要的信息如果不在服务器端再做一次验证,是很有风险的。下面的简单示例证明了这一点。
HTML文件如下,页面上有两个文本输入框,一个的id是name,一个id是sechole。JavaScript在客户端对name做检查,简单起见,这里的验证规则是必须填值。验证通过后提交到服务器端的一个servlet。
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title>js security hole</title>
<script language='javascript'>
function checkInput(){
var name = document.getElementById("name");
if(name.value.length==0){
alert("name invalid");
return false;
}
return true;
}
</script>
</head>
<body>
<form action="xxx.test" method="post" οnsubmit="return checkInput();">
<label for="name">name</label><input id="name" name="name" type="text"><br>
<label for="sechole">security hole</label><input id="sechole" name="sechole" type="text">
<br>
<input type="submit" value="submit">
</form>
</body>
</html>
通过浏览器的一些插件,如firefox的firebug,将sechole的id改为name,将name的id改为别的值,则可以"骗"过浏览器的JS验证。如下图,name的输入框没有填值,在security hole的框里填上值,则可以通过验证,并且成功提交。