我有这段代码:
<input type="button" value="Delete Group" class="followbt" name="delete" onclick="deleteGroupDialog(' . $group_row['ngroup'] . ');">
该字段&#39; ngroup&#39;是我要删除的组号,我将它传递给javascript函数,该函数打开一个jquery对话框窗口,以询问用户是否确定正在做什么,问题是任何人都可以进入浏览器并且编辑该号码并删除任何组(属于他)。
我已经对此进行了搜索,但我找不到任何东西,有没有办法更安全地传递参数?
PS:当我显示对话框窗口时,我不想重新加载页面,请提出服务器请求。
答案 0 :(得分:6)
您的客户端代码永远应该是用户可以做的最后一句话;这是服务器的工作。客户端门户仅用于UX,引导用户做他们允许做的事情并引导他们远离他们不允许做的事情。
是的,客户端确实可以进入并编辑内容,甚至可以自定义HTTP消息以发送到您的服务器。这就是你的服务器需要成为网守的原因。这样,如果用户手工编辑组号,则不会 care :如果允许他们删除组,他们可以删除它(通过UI或恶意方式);如果他们不是,他们就不能,无论他们尝试多少客户端的诡计。