Добавление адреса электронной почты в качестве скрытого поля

Question

Я недавно нашел веб-сайт, где адрес электронной почты включен в скрытые теги в HTML-форме. Это плохая практика и почему кроме кражи почтовых адресов?

Answer 1

Это плохая практика.

Злонамеренный пользователь может использовать такой инструмент, как Firebug , чтобы изменить содержимое скрытого поля.
Затем он может использовать вашу форму для рассылки спама или отправки анонимных электронных писем, например.

Answer 2

Предположительно, поле с именем «to» содержит адрес электронной почты организации, с которой связываются. Поскольку это не зависит от клиента, оно не должно быть частью формы; это должно быть частью целевого скрипта формы.

Даже если электронная почта «до» несколько изменчива (скажем, ограниченный список веб-мастеров, технических служб, отделов продаж, отдела жалоб и т. Д.), Форма не должна содержать целевой электронной почты. Он должен содержать раскрывающийся список отправки, где значения параметров являются целыми числами, которые используются сценарием для определения подходящего адреса электронной почты. Помимо соображений безопасности, список опций, подобный описанному, легко генерируется из массива. Таким образом, внести изменения в ваш список рассылки легко.

Хранение адреса электронной почты в контактной форме помогает предотвратить незаконное присвоение вашей формы для рассылки спама. И это также сохраняет ваш адрес электронной почты частным от webscrapers.

Answer 3

Это альтернатива использования сессии для хранения значения электронной почты для определенной цели.

Answer 4

Это просто способ отслеживать адрес электронной почты, который должен быть где-то требуется. Поскольку они не могут самостоятельно определить ваш адрес электронной почты, я полагаю, что вы уже ввели его в систему, поэтому я бы не стал называть это воровством.

Что касается практики, я не большой поклонник скрытых полей, так как их так легко изменить, но они могут выполнить работу, если это необходимо. Конечно, вам нужно, чтобы всякая проверка данных на сервере обрабатывала скрытые поля, как если бы они были пользовательскими вводами.

Answer 5

Где какой адрес электронной почты?

Адрес электронной почты, на который будет отправлена ​​форма? Это не очень чисто, но в этом нет ничего страшного. (Если обработчик формы на стороне сервера не проверяет адрес электронной почты по белому списку, то это приглашение к рассылке спама, и это ужасно).

Адрес электронной почты, введенный пользователем на предыдущей странице? Нет проблем, это просто поддержание состояния, и его нельзя украсть - его увидит только пользователь, который первым его ввел. (эта половина ответа удалена в ответ на комментарии)