jQuery是一个js库,不是一个传输协议,无论您是否使用jQuery,您的数据都是通过GET或POST发送的。
可以这样想,有时是第一帧中的用户,有时是javascript:
首先,nonce与消毒不同,它们有不同的用途
清理是关于验证源所说的内容的格式是否正确,检查格式错误的数据,以及何时发送恶意数据。
nonce是加密令牌,用于确保用户以正确的权限从正确的位置发送请求。用户只有在正确的时间、正确的地点才能获得该安全令牌(记住,当您可以在内容中放置图像,但src属性没有指向图像,它指向facebook注销URL?这就是nonces要防止的)。
So use both.
此外,客户端清理还不够。如果我关闭了Javascript,或者出现了阻止清理运行的错误,该怎么办?
请参见此处:https://stackoverflow.com/questions/3483514/why-is-client-side-validation-not-enough
您还需要PHP级别的sanitisaiton,it\'s unavoidable. 永远不要相信客户端/浏览器发送给您的任何内容。它甚至可能不是一个浏览器或您发送它的页面。
建议的研究主题:
