用户篡改隐藏域的值如何验证

问个问题:
是这样的,现在我有个表单,输入手机号码,点击查找按钮,查出对应用户的uid和身份证号码。这2个值我放在各自的隐藏域里面,现在的问题是用户完全可以F12来修改2个隐藏域的值,我虽然在后台通过uid和身份证来验证2个值是否一一对应,但是我不能验证,用户修改后的值也是一一对应的。那这种情况有什么好的解决方案吗??

阅读 3.2k
5 个回答

1、隐藏域内容使用加密传输
2、使用token有效期的办法解决

我觉得你根本就不需要从前台接收这种敏感信息 只接收手机号 然后再查询 uid和身份证 不知道是否有什么特殊需求必须放在隐藏域里?

你要知道前端的任何数据都是不能信任的,隐藏域要么存可信任的数据,要么就存token。你这种情况适合前端用token,然后临时数据存后台,或者干脆用session。你要记住没有任何方法保证前端数据的可靠性,除非你加密。

前端的验证永远无法做到绝对安全。
表单做成ajax提交,如果后端验证不通过,则返回异常码和异常msg,直接弹出提示信息,通过就走正常流程就可以了。

你通过手机号码查找后获得的 uid 和身份证号码回传的时候,附带一个验签字串,提交时对验签字串进行校验。

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
推荐问题