編集レコードの ID を保持する隠しフィールドを含むフォームがあるとします。Chrome 開発者ツールを使用して、誰かがフォームの隠し要素を別のものに変更することにしました。次に、フォームを送信します。
私の質問: サーバーに送信されたときの非表示フィールドの値は何ですか? 元の値ですか、それとも変更された値ですか?
別の例 - 類似
3 つの入力フィールド (名前 = txt1、txt2、txt3) を含むフォームがあります。誰かが chrome インスペクタを使用して入力フィールドの name 属性を変更し、リクエストを行うことはできますか?
あなたの質問に
サーバーに送信されたときの非表示フィールドの値は何ですか? 元の値ですか、それとも変更された値ですか?
サーバーは変更された値を受け取ります。したがって、クライアント側とサーバー側の両方の検証が重要です。
サーバー側で適切な検証を行うための通常の方法は、クライアント側からの値を信頼しないことです。その観点を念頭に置いてください。そうすれば、より良い検証ができます。
3 つの入力フィールド (名前 = txt1、txt2、txt3) を含むフォームがあります。誰かが chrome インスペクタを使用して入力フィールドの name 属性を変更し、リクエストを行うことはできますか?
はい、入力名も変更されます。したがって、サーバーは、名前に基づいて予期される入力が受信されないことを認識し、エラーメッセージをスローする必要があります。