我在下面有一个简单的html表单,它将regno字段设置为readonly。任何用户都可以通过某种方式更改正在发送的值吗?
我读到了XSS攻击如何在用户表单中提交脚本以窃取cookie等...因此用户也可以操作以只读字段形式提交的值。
这是我的示例代码
Register Number :<input type="text" name="regno" value="007" readonly = "readonly" />
以及显示值的示例php代码。
<?php
foreach($_POST as $value){
$str=htmlspecialchars(trim($value));
echo $str;
}
?>
用户是否仍然可以操纵值?
答案 0 :(得分:3)
没有恶意意图的普通用户是否可以更改只读输入的值?否。
恶意用户可以始终发布任意任意任意数据,无论您的表单看起来如何,这就是总是验证用户输入的原因服务器和从不仅依靠客户端代码进行验证。