HTML输入只读安全风险?

它的工作原理是用户不能将文本放入只读字段。但是任何人都可以用那些容易修改的字段来伪造一个帖子。

所以不是很安全。

如果一个输入是只读的,但是你还是把它的值传递给了服务器,那就不安全了。很容易操纵页面的源代码。
如果你想记住一些价值,是的,使用会话。你可以 通过

编辑:

不。依赖设置为只读的html输入字段的数据是不安全的。而且依赖客户提供的数据也不安全。
这将是唯一可能的解决办法

如果它真的是只读的,那么您可以在服务器端忽略它,因此即使更改值也不会对您的数据(例如数据库中的数据)产生任何影响。

对我来说,向某人显示一个只读文件的原因是使用与已填写的表单预览相同的表单。但是在这种情况下,您不应该使用它再次将数据发送到后端。

对于第二个问题:会话数据通常存储在服务器上的文本文件中。它将在一段非活动时间后被删除(标准为24分钟)。你不应该在意数据有多大。我还使用session为一些脚本存储了数百兆字节。但是,在数据成功保存到数据库(或任何其他持久性媒体)之后,最好从会话中取消设置表单数据。将其存储在会话中还允许您重新填充表单,即使用户没有按“后退”按钮或浏览器无法正确恢复数据。