我最近遇到了this。据说jQuery可以在任何网站上运行,方法是在控制台中添加链接到jQuery的脚本标记。
我的问题:这可能是一个安全问题,任何人都可以运行$.post()并将随机数据发布到服务器?任何人都可以在网站上查看javascript文件并获取jQuery post语句的url以及可以发布的数据。这也可以绕过客户端的验证。
答案 0 :(得分:2)
这不仅仅是一个jQuery问题 - 任何javascript命令都可以通过控制台运行。
是的,这是一个潜在的安全问题,但你应该知道。客户端验证应该被用作对用户的礼貌以获得更好的用户体验。您必须对每个请求都进行服务器端验证,以确保发送的数据无效,无论来源是什么。