假设我的<input>标记带有pattern属性(例如,pattern与某个电话号码格式相匹配),而且我没有通过标准浏览器中的HTML页面post该数据(例如,通过邮递员),是否仍会根据正则表达式模式检查数据?换句话说,可以绕过html属性(例如pattern或require)吗?
更一般地说,就安全性而言,服务器端脚本是否应始终检查所有可能的无效数据?
答案 0 :(得分:2)
是的,您应始终验证服务器端的安全敏感信息。永远不要相信客户输入或假设它来自您的HTML页面。
考虑到使用大多数流行浏览器附带的开发工具,可以轻松地从DOM客户端手动删除这些属性。它甚至不需要欺骗整个页面。