нет тега сценария против проверки на стороне сервера?

Question

это вопрос, который еще не был задан напрямую.
Я разрабатываю компанию, которая обслуживает миллионы веб-клиентов в год.Многие из наших веб-приложений были написаны много лет назад (и с плохой практикой), которые полностью основаны на java-скриптах для работы страниц, особенно в проверке веб-форм.

Недавно мы внедрили теги noscript, чтобы перенаправить пользователей на страницу с ошибкой, если они не используют javascript.
У меня возникают проблемы с тем, чтобы убедить кого-либо, почему вместо проверки клиента должна выполняться проверка сервераиспользования noscript, учитывая, что 99% пользователей теперь имеют браузеры с поддержкой javascript.

Кроме того, добавление открывающего и закрывающего тега и перенаправление может быть разработано за 5 секунд, тогда как проверка сервера требует намного больше времени и денег.
Что вы думаете ??
Каково реальное преимущество проверки сервера, если у нас теперь есть noscript, кроме 1% пользователей, которым просто нужно будет включить свои сценарии?

Answer 1

Вы всегда должны выполнять проверку на стороне сервера.Период.Без вопросов. Вы никогда не должны полагаться на клиента для проверки.Предположим, что бот или что-то еще делает POST, обходя JavaScript и теги noscript.Одна вещь, не имеющая проверки на стороне сервера, состоит в том, что она также открывает атаки с использованием SQL-инъекций.

Answer 2

Примечания / предложения:

• Записать количество людей, которые попали на страницу с надписями.может дать потенциальную ценность для дохода, не полученного из-за отсутствия проверки на стороне сервера.Боссы обычно свободно говорят на языке денег.
• Потенциал SQL-инъекция и другие проблемы безопасности также очень проблематичны.Вы должны по крайней мере удалить свои значения из формы, даже если вы их не проверяете.
• Целостность данных может быть нарушена. Иногда ваши сценарии могут не работать, но они будут проходитьпроверка кодаБез проверки на стороне сервера данные не дают такой гарантии, как должны.
• Не поддержка JavaScript просто выглядит плохо для чего-то такого простого.Честно говоря, это риск для репутации.

Answer 3

Проверка сервера не может быть отключена или обойдена клиентами, тогда как проверка на стороне клиента может.

Это проблема для вас? Если он открыт для публики на незащищенных компьютерах, Я был бы изумлен, если бы это не было проблемой . Если вы полагаетесь только на проверку JavaScript, то если кто-то недобросовестно обходит это (что легко сделать), это приведет к:

• угрозы безопасности
• риски целостности данных
• репутационные риски
• финансовые риски

вашему клиенту.

Если это так, то вам нужно как можно скорее выполнить проверку на стороне сервера, прежде чем кто-то атакует ваш сайт.

Answer 4

Вам не нужно быть PRO, чтобы обойти проверку Javascript с помощью таких инструментов, как Firebug.Если вы не добавите проверку на стороне сервера, ваша целостность данных окажется под угрозой, что, в свою очередь, вызовет проблемы не только у вашей компании, но и у ваших клиентов.На карту поставлена ​​репутация вашей компании (если произойдет атака, причина / ответ, предоставленный вашим клиентам, например, «У нас не было проверки на стороне сервера», будет очень неприятно, если не сказать больше, так как это обычная практика)проверка на стороне сервера).

Answer 5

Если кто-то намеренно попытается взломать ваш системный сайт / сайт и отключить JavaScript, введите некоторые сценарии и SQL-инъекции.Только путем проверки на стороне сервера вы можете заблокировать его.Это очень необходимо в соответствии с моим пониманием