0

ドロップダウンメニューでのホワイトリストの使用について説明しているhttps://www.owasp.org/index.php/Input_Validation_Cheat_Sheetのリンクを確認しました。

私が得られないのは、選択肢がすべてあるのに、なぜオプションのリストでホワイトリストを使用するのでしょうか。

名前の入力など、ユーザー入力で使用する理由は理解できますが、ユーザーが物理的に何かを入力していないため、オプションで使用する理由がわかりません。

それとも私はこれを間違って読んだことがありますか?

4

2 に答える 2

3

ユーザーは引き続きドロップボックス内のデータを変更して、ページにデータを送信できます。それが理由です。

于 2012-04-10T17:55:22.767 に答える
1

あなたは彼らがあなたのフォームを使ってフォームプロセッサに投稿することを想定していますが、必ずしもそうとは限りません。

それとは別に、たとえばfirebugを使用してドロップダウンから値を変更し、その後フォームを投稿するのは簡単です。

于 2012-04-10T18:02:27.233 に答える