vn
发帖数: 6191 | 1 感觉javascript validation很容易被 hack
可是我们这边很多地方就只有client side check
要都加上server side很麻烦
不知道其他公司是不是都这样
搜了下fyi:
http://stackoverflow.com/questions/162159/javascript-client-sid |
y*****3
发帖数: 451 | 2 当然要做server side validation
【在 vn 的大作中提到】
: 感觉javascript validation很容易被 hack
: 可是我们这边很多地方就只有client side check
: 要都加上server side很麻烦
: 不知道其他公司是不是都这样
: 搜了下fyi:
: http://stackoverflow.com/questions/162159/javascript-client-sid
|
l*s
发帖数: 783 | 3 Server side validation一定要做。为了性能client side也要做
【在 vn 的大作中提到】
: 感觉javascript validation很容易被 hack
: 可是我们这边很多地方就只有client side check
: 要都加上server side很麻烦
: 不知道其他公司是不是都这样
: 搜了下fyi:
: http://stackoverflow.com/questions/162159/javascript-client-sid
|
vn
发帖数: 6191 | 4 每个method都做是相当的麻烦
比如client端有一个ajax call可以删某数据
在不需要的地方我就不显示link就行了
但是发现用户聪明的话 自己在前端可以f12 debug, 掉用ajax call啊
这种都得check吗?太痛苦了 那么多类似的ajax调用 |
vn
发帖数: 6191 | 5 还有比如前端某check只能输入几个特定字母like, 'a' 'b' 'c'把
server入数据库再check一次?这种地方更是多不胜数了 |
l*s
发帖数: 783 | 6 这种情况必须要在被called的service/function里验证用户和权限啊。和前端关系不大
。不能说用户看不到url就不检验。
【在 vn 的大作中提到】
: 每个method都做是相当的麻烦
: 比如client端有一个ajax call可以删某数据
: 在不需要的地方我就不显示link就行了
: 但是发现用户聪明的话 自己在前端可以f12 debug, 掉用ajax call啊
: 这种都得check吗?太痛苦了 那么多类似的ajax调用
|
vn
发帖数: 6191 | 7 有时候不是权现问题
我们现在的情况是 如果只有最后一个数据了 就不能删; 如果有多的数据就可以删
现在我发现不返回用户删的接口,用户要是真想自己掉 满容易的
【在 l*s 的大作中提到】
: 这种情况必须要在被called的service/function里验证用户和权限啊。和前端关系不大
: 。不能说用户看不到url就不检验。
|
s******e
发帖数: 114 | 8 client 和server 都要做。server focus on security, integrity, server省略一些
检查,让SQL server throw exception. |
c*********e
发帖数: 16335 | 9 比如email,可以专门做个class,里面有validation method.
server side validation 还是要的,如果不valid就抛出exception.客户端的出错信息
,是根据exception来显示出来的。
【在 vn 的大作中提到】
: 感觉javascript validation很容易被 hack
: 可是我们这边很多地方就只有client side check
: 要都加上server side很麻烦
: 不知道其他公司是不是都这样
: 搜了下fyi:
: http://stackoverflow.com/questions/162159/javascript-client-sid
|
c*********e
发帖数: 16335 | 10 用户可以turn off javascript.这样server side validation是非常必要的。
【在 vn 的大作中提到】
: 感觉javascript validation很容易被 hack
: 可是我们这边很多地方就只有client side check
: 要都加上server side很麻烦
: 不知道其他公司是不是都这样
: 搜了下fyi:
: http://stackoverflow.com/questions/162159/javascript-client-sid
|
y*****3
发帖数: 451 | 11 这种情况绝对没商量啊!
【在 vn 的大作中提到】
: 每个method都做是相当的麻烦
: 比如client端有一个ajax call可以删某数据
: 在不需要的地方我就不显示link就行了
: 但是发现用户聪明的话 自己在前端可以f12 debug, 掉用ajax call啊
: 这种都得check吗?太痛苦了 那么多类似的ajax调用
|
k**n
发帖数: 3989 | 12 可以没有client validation, 但不能没有serverside validation.
这是铁律, 不用想.
【在 vn 的大作中提到】
: 感觉javascript validation很容易被 hack
: 可是我们这边很多地方就只有client side check
: 要都加上server side很麻烦
: 不知道其他公司是不是都这样
: 搜了下fyi:
: http://stackoverflow.com/questions/162159/javascript-client-sid
|
vn
发帖数: 6191 | |
