很多時候我們都有JavaScript在用戶端做驗證,比如必填選項,格式驗證等,如果不合法則不讓表單提交。但是對於重要的資訊如果不在伺服器端再做一次驗證,是很有風險的。下面的簡單樣本證明了這一點。
HTML檔案如下,頁面上有兩個文本輸入框,一個的id是name,一個id是sechole。JavaScript在用戶端對name做檢查,簡單起見,這裡的驗證規則是必須填值。驗證通過後提交到伺服器端的一個servlet。
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"><html><head><meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1"><title>js security hole</title><script language='javascript'>function checkInput(){var name = document.getElementById("name");if(name.value.length==0){alert("name invalid");return false;}return true;}</script></head><body><form action="xxx.test" method="post" onsubmit="return checkInput();"><label for="name">name</label><input id="name" name="name" type="text"><br><label for="sechole">security hole</label><input id="sechole" name="sechole" type="text"><br><input type="submit" value="submit"></form></body></html>
通過瀏覽器的一些外掛程式,如firefox的firebug,將sechole的id改為name,將name的id改為別的值,則可以"騙"過瀏覽器的JS驗證。如,name的輸入框沒有填值,在security hole的框裡填上值,則可以通過驗證,並且成功提交。