我正在使用asp.net核心剃须刀,并且具有以下形式:
<input type="date" value="..." .../>
我是否需要在后端进行验证以防止恶意用户使用浏览器(在chrome上,单击“检查”然后进行编辑)将类型编辑为“文本”,然后注入脚本标签,例如:
<input type="text" value="<script>alert('boo');</script>" />
他提交表格之前?
我是否需要在后端进行验证以防止恶意用户使用浏览器(在chrome上,单击“检查”然后进行编辑)将类型编辑为“文本”,然后注入脚本标签,例如:
是,在分布式系统中because you must never trust the client(在Web应用程序中,您的HTML + JS前端是客户端,您的Web服务器端代码是服务器)。