Сообщение от cyber
|
|
Den Brown, проверку нужно проводить на сервере, а не на клиенте.
|
Полностью согласен. И опишу ситуацию подробнее:
Стандартная страница какой-то записи на какой-то платформе работающей на JAVA.
Для того, чтобы не приходилось возиться с созданием кастомных страниц и их контроллеров, на эту стандартную страницу можно добавить кнопку, под которой лежит JS код который делает AJAX SOAP вызовы на сервер для выполнения каких то нехитрых операций с записями, как-то добавить новую дочернуюю запись, перенумеровать дочерние записи. При этом не предполагается, что потребуется пользовательский ввод. Но в моем случае он потребовался.
есть еще вариант: после ввода не далется AJAX SOAP колы, а делается стандартный GET вызов на кастомную страницу где в URL загружается ввод как параметр, и контроллер той страницы берет парметр и делает, то что нужно. Но проблема в вредительском вводом в JS так и отстается , кроме этого прибавляется необходимость проверять на контроллере.
так что хочу понять, что можно сделать плохого в принципе в таком случае, и как это предотвратить
а вот и идея: а может не использовать промпт, а поднимать в центре див с селектом и фиксированными вариантами....
|
Сообщение от cyber
|
|
Да, может
|
OK,
что он именно может ввести?
как этот ввод может пройти проверку в функции isNumeric(n) и оставаться опасным?
или код можно "положить" даже не доходя по цикла, где ввод ипользуется в качестве счетчика?
спасибо