POST-の非表示の入力フィールド-セキュリティ
postで使用する非表示の入力フィールドについての投稿をいくつか見ましたが、私の質問に答えることができませんでした。
テーブルにユーザーに関連付けられた削除ボタンがあります。削除ボタンは、postと組み合わせた非表示の入力を使用します。この入力の値は、usersテーブルの主キーです。確かにこれはいくつかの脆弱性を生み出します。これにより脆弱性が生じる場合、値を非表示にする必要がありますか?同じタスクを完了するために別の方法を使用する必要がありますか?
セキュリティの観点からは、非表示の入力フィールドは、アプリケーションによって事前に入力される単純なテキストボックスと同じように安全/安全ではありません。つまり、知りたくない機密情報をHTMLフォームの入力フィールドに入力しないでください。
ユーザーが非表示の入力フィールドの値を意図的または誤って変更するリスクは常にあります。つまり、非表示の入力フィールドであっても、受け取った値が有効であることを盲目的に信頼することはできませんが、積極的にチェックする必要があります。削除ボタン/フォームの場合、これは、POSTの処理で、フォームの値で示されたユーザーを削除するために必要な権限が、呼び出しを行っているユーザーに実際にあることを確認する必要があることを意味します。