总结:我想保证提交的.value
数据包含与我提供的HTML表单相同的字段列表,并且没有在客户端被黑客入侵。
我正在用Flask和Jinja2生成HTML表单。我有一个强大的授权机制以及广泛的客户端和服务器端字段验证。但是,对于更新表单的提交操作,我在后端(由Python Eve生成)使用了生成的API方法,该方法将接受实体字段列表的任何有效子集。
因此,我想确保用户提交的字段与原始HTML表单上显示的字段完全相同,并且没有通过客户端黑客添加或删除任何字段。我正在考虑在表单生成过程中将所有表单字段名称的SHA-1哈希值生成到表单本身中。客户端将在请求标头中提交此哈希,我将在后端验证它是否与实际提交的表单字段名称的哈希匹配。
有什么更简单的方法可以实现我想要的目标,因为听起来像是敲碎坚果的大锤?