Проверка формы Javascript на стороне клиента без стороны сервера - это безопасно?

Question

Предположим, у меня есть какая-то форма с проверкой на стороне клиента javascript и без проверки на стороне сервера.

Если пользователь отключит JavaScript в своем браузере, кнопка отправки не будет, поэтому он не сможет отправить мне какие-либо данные без включенной js.

Но я не знаю, есть ли способ изменить мои инструкции проверки из браузера клиента, чтобы он мог отправить мне ненадежные данные и нанести некоторый ущерб моей базе данных.

Заранее спасибо и извините за мой (возможно) очевидный вопрос !!!

Answer 1

Нет. это не безопасно. Использовать проверку на стороне сервера.

Например, даже без браузера я могу прочитать ваш исходный код. Затем просто используйте CURL для отправки почтового запроса с вредоносными данными.

Никогда, никогда не доверяй клиенту.

Answer 2

Любой, кто способен отключить javascript самостоятельно, вероятно, также способен самостоятельно выполнять произвольные запросы POST.Хорошо, возможно, я преувеличиваю, но это все же небезопасно, поскольку кто-то может выполнять запросы POST без использования браузера, не говоря уже о вашей форме.

Answer 3

Нет, это не безопасно. Например, я мог бы просто открыть отладчик JavaScript в моем браузере и переопределить вашу проверку.

Answer 4

Я бы предложил использовать проверку на стороне клиента и на стороне сервера.

Преимущество проверки на стороне клиента - это быстро, мы никогда не обращаемся к серверу, пока пользователь не введет правильный ввод. Это экономит время и позволяет избежать флюрации пользователя. Это действительно полезно в больших формах. Однако недостаток является плохим парнем, который может переопределить проверку на стороне клиента, поэтому, чтобы избежать такого случая, мы должны проверять на стороне сервера также перед обработкой данных.