与开发表单的其他人一样,我担心验证并阻止用户输入恶意数据。 Javascript验证是如此直接和整洁,但当然有人可以关闭Javascript的问题。
我想知道,为禁用Javascript的用户禁用表单是否合法?它是否有效,或者恶意访问者是否可以绕过它?出于其他原因,这是一个坏主意吗?
我看过关于这个一般主题的较早讨论:
How to detect if JavaScript is disabled?
How do I know if Javascript has been turned off inside browser?
目前有哪些方法和想法?
答案 0 :(得分:1)
我想知道,为禁用Javascript的用户禁用表单是否合法?
充其量是反社会的。是progressive。
它是否有效,或者恶意访问者是否可以绕过它?出于其他原因,这是一个坏主意吗?
攻击者可以绕过在客户端上实施的任何防御。您的公共接口是HTTP。您需要在其后面(即服务器端)实施任何安全检查。
答案 1 :(得分:0)
您可以在PHP中验证访问者在您的表单上写的信息。它更安全。
答案 2 :(得分:0)
我发现检测Javascript的最佳方法是添加一个'no-js'的类。
然后,如果您使用Modernizr,它将用'js'替换'no-js'类
或者,如果您不想使用Modernizr,您可以通过Javascript轻松删除代码。