在验证隐藏输入时,我目前需要一些有关最佳做法的建议。
我的情况要求我连接一些对象,并且我有一个包含一些字段的表单,这些字段提供有关如何连接这些对象的信息。虽然,我还需要知道要连接的对象,并且我认为最好使用隐藏的输入来进行连接。将有两个隐藏的输入字段,都提供pk的整数。这些不会通过表单生成-我将手动编写HTML。
现在,我用于验证对这些隐藏的输入字段不做任何篡改的想法是:我将向表单添加两个整数字段,两个根本不会呈现的字段,它们共享隐藏的名称输入字段。希望这意味着在运行时,与所有其他字段一样,对隐藏字段进行了验证:
form = my_form(request.POST) # request.POST containing hidden-fields as well
form.is_valid():
这是一种相对安全的方法,用于检查是否通过隐藏输入传递了除整数以外的其他任何东西?这样会像普通表格处理一样安全吗?还是我错过了什么?