1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
|
---
title: 发送表单数据
slug: Learn/Forms/Sending_and_retrieving_form_data
tags:
- HTML
- HTTP
- Web
- request
- 安全
- 表单
translation_of: Learn/Forms/Sending_and_retrieving_form_data
original_slug: Learn/HTML/Forms/Sending_and_retrieving_form_data
---
<p>{{LearnSidebar}}{{PreviousMenuNext("Learn/HTML/Forms/The_native_form_widgets", "Learn/HTML/Forms/Form_validation", "Learn/HTML/Forms")}}</p>
<p class="summary">本文将讨论当用户提交表单时发生了什么——数据去了哪,以及当它到达时该如何处理?我们还研究了与发送表单数据相关的一些安全问题。</p>
<table class="learn-box standard-table">
<tbody>
<tr>
<th scope="row">预备知识:</th>
<td>
<p>基本计算机素养,对<a href="/en-US/docs/Learn/HTML/Introduction_to_HTML">HTML的理解</a>,对<a href="/en-US/docs/Web/HTTP/Basics_of_HTTP">HTTP</a> 和<a href="/en-US/docs/Learn/Server-side/First_steps">服务器端编程</a>的基础知识。</p>
</td>
</tr>
<tr>
<th scope="row">目标:</th>
<td>了解表单数据提交时发生了什么,包括服务器上如何处理数据的基本概念。</td>
</tr>
</tbody>
</table>
<h2 id="数据都去哪儿了?">数据都去哪儿了?</h2>
<p>在这里,我们将讨论在提交表单时数据会发生什么。</p>
<h3 id="客户端服务器体系结构">客户端/服务器体系结构</h3>
<p>web基于非常基本的客户端/服务器体系结构,可以总结如下:客户端(通常是web浏览器)向服务器发送请求(大多数情况下是<a href="http://httpd.apache.org/" rel="external">Apache</a>、<a href="http://nginx.com/" rel="external">Nginx</a>、<a href="http://www.iis.net/" rel="external">IIS</a>、<a href="http://tomcat.apache.org/" rel="external">Tomcat</a>等web服务器),使用<a href="/en-US/docs/HTTP" title="/en-US/docs/HTTP">HTTP 协议</a>。服务器使用相同的协议来回答请求。</p>
<p><img alt="A basic schema of the Web client/server architecture" src="/files/4291/client-server.png" style="display: block; height: 141px; margin: 0px auto; width: 400px;"></p>
<p>在客户端,HTML表单只不过是一种方便的用户友好的方式,可以配置HTTP请求将数据发送到服务器。这使用户能够提供在HTTP请求中传递的信息。</p>
<div class="note">
<p><strong>注意:</strong>为了更好地了解客户端—服务器架构是如何工作的,请阅读我们的<a href="/en-US/docs/Learn/Server-side/First_steps">服务器端网站编程的第一个步骤</a>模块。</p>
</div>
<h3 id="在客户端定义如何发送数据">在客户端:定义如何发送数据</h3>
<p>{{HTMLElement("form")}}元素定义了如何发送数据。它的所有属性都是为了让您配置当用户点击提交按钮时发送的请求。两个最重要的属性是{{htmlattrxref("action","form")}}和{{htmlattrxref("method","form")}}。</p>
<h4 id="htmlattrxref(actionform)_属性"> {{htmlattrxref("action","form")}} 属性</h4>
<p>这个属性定义了发送数据要去的位置。它的值必须是一个有效的URL。如果没有提供此属性,则数据将被发送到包含这个表单的页面的URL。</p>
<p>在这个例子中,数据被发送到一个绝对URL —— <code>http://foo.com</code>:</p>
<pre class="brush: html"><form action="http://foo.com"></pre>
<p class="brush: html">这里,我们使用相对URL——数据被发送到服务器上的不同URL</p>
<pre class="brush: html"><form action="/somewhere_else">
</pre>
<p class="brush: html">在没有属性的情况下,像下面一样,{{HTMLElement("form")}}数据被发送到表单出现的相同页面上:</p>
<pre class="brush: html"><form></pre>
<p class="brush: html">许多较老的页面使用下面的符号表示数据应该被发送到包含表单的相同页面;这是必需的,因为直到HTML5{{htmlattrxref("action", "form")}}属性都需要该符号。现在,这不再需要了。</p>
<pre class="brush: html"><form action="#"></pre>
<div class="note">
<p><strong>注意:</strong>可以指定使用HTTPS(安全HTTP)协议的URL。当您这样做时,数据将与请求的其余部分一起加密,即使表单本身是托管在使用HTTP访问的不安全页面上。另一方面,如果表单是在安全页面上托管的,但是您指定了一个不安全的HTTP URL,它带有{{htmlattrxref("action","form")}}属性,所有的浏览器都会在每次尝试发送数据时向用户显示一个安全警告,因为数据不会被加密。</p>
</div>
<h4 id="htmlattrxref(methodform)属性"> {{htmlattrxref("method","form")}}属性</h4>
<p>该属性定义了如何发送数据。<a href="/en-US/docs/HTTP">HTTP协议</a>提供了几种执行请求的方法;HTML表单数据可以通过许多不同的方法进行数据传输,其中最常见的是<code>GET</code>方法和<code>POST</code>方法。</p>
<p>为了理解这两种方法之间的区别,让我们回过头来看看HTTP是如何工作的。<br>
每当您想要访问Web上的资源时,浏览器都会向URL发送一个请求。<br>
HTTP请求由两个部分组成:一个包含关于浏览器功能的全局元数据集的头部,和一个包含服务器处理特定请求所需信息的主体。</p>
<h5 id="GET_方法">GET 方法</h5>
<p><code>GET</code>方法是浏览器使用的方法,请求服务器返回给定的资源:“嘿,服务器,我想要得到这个资源。”在这种情况下,浏览器发送一个空的主体。由于主体是空的,如果使用该方法发送一个表单,那么发送到服务器的数据将被追加到URL。</p>
<p>考虑下面这个表单:</p>
<pre class="brush: html"><form action="http://foo.com" method="get">
<div>
<label for="say">What greeting do you want to say?</label>
<input name="say" id="say" value="Hi">
</div>
<div>
<label for="to">Who do you want to say it to?</label>
<input name="to" id="to" value="Mom">
</div>
<div>
<button>Send my greetings</button>
</div>
</form></pre>
<p>由于已经使用了<code>GET</code>方法,当你提交表单的时候,您将看到<code>www.foo.com/?say=Hi&to=Mom</code>在浏览器地址栏里。</p>
<p><img alt="" src="https://mdn.mozillademos.org/files/14685/url-parameters.png" style="display: block; margin: 0 auto;">数据作为一系列的名称/值对被附加到URL。在URL web地址结束之后,我们得到一个问号(<code>?</code>),后面跟着由一个与符号(<code>&</code>)互相分隔开的名称/值对。在本例中,我们将两个数据传递给服务器。</p>
<ul>
<li><code>say</code>, 它有一个 <code>Hi</code>的值。</li>
<li><code>to</code>, 它有一个 <code>Mom</code>的值。</li>
</ul>
<p>HTTP请求如下:</p>
<pre>GET /?say=Hi&to=Mom HTTP/2.0
Host: foo.com</pre>
<div class="note">
<p><strong>注意:</strong>你可以在GitHub 上看到本例子——见 <a href="https://github.com/mdn/learning-area/blob/master/html/forms/sending-form-data/get-method.html">get-method.html</a> (<a href="https://mdn.github.io/learning-area/html/forms/sending-form-data/get-method.html">预览版</a>).</p>
</div>
<h5 id="POST_方法">POST 方法</h5>
<p><code>POST</code>方法略有不同。这是浏览器在询问响应时使用与服务器通信的方法,该响应考虑了HTTP请求正文中提供的数据:“嘿,服务器,看一下这些数据,然后给我回一个适当的结果。”如果使用该方法发送表单,则将数据追加到HTTP请求的主体中。</p>
<p>让我们来看一个例子,这是我们在上面的<code>GET</code>部分中所看到的相同的形式,但是使用{{htmlattrxref("method","form")}}属性设置为<code>post</code>。</p>
<pre class="brush: html"><form action="http://foo.com" method="post">
<div>
<label for="say">What greeting do you want to say?</label>
<input name="say" id="say" value="Hi">
</div>
<div>
<label for="to">Who do you want to say it to?</label>
<input name="to" id="to" value="Mom">
</div>
<div>
<button>Send my greetings</button>
</div>
</form></pre>
<p>当使用<code>POST</code>方法提交表单时,没有数据会附加到URL,HTTP请求看起来是这样的,而请求主体中包含的数据是这样的:</p>
<pre>POST / HTTP/2.0
Host: foo.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 13
say=Hi&to=Mom</pre>
<p><code>Content-Length</code>数据头表示主体的大小,<code>Content-Type</code>数据头表示发送到服务器的资源类型。稍后我们将讨论这些标头。</p>
<div class="note">
<p><strong>注意:</strong>你可以在 GitHub 上看到本例—— 见 <a href="https://github.com/mdn/learning-area/blob/master/html/forms/sending-form-data/post-method.html">post-method.html</a> (<a href="https://mdn.github.io/learning-area/html/forms/sending-form-data/post-method.html">预览版</a>).</p>
</div>
<h4 id="查看HTTP请求">查看HTTP请求</h4>
<p>HTTP请求永远不会显示给用户(如果您想要看到它们,您需要使用诸如<a href="/en-US/docs/Tools/Network_Monitor">Firefox Network Monitor</a>或<a href="https://developers.google.com/chrome-developer-tools/">Chrome Developer Tools</a>之类的工具)。例如,您的表单数据将显示在Chrome网络选项卡中:</p>
<ol>
<li>按下 F12</li>
<li>选择 "Network"</li>
<li>选择 "All"</li>
<li>在 "Name" 标签页选择 "foo.com"</li>
<li>选择 "Headers"</li>
</ol>
<p>你可以获得表单数据,像下图显示的那样</p>
<p><img alt="" src="https://mdn.mozillademos.org/files/14691/network-monitor.png" style="border-style: solid; border-width: 1px; display: block; margin: 0px auto;"></p>
<p>唯一显示给用户的是被调用的URL。正如我们上面提到的,使用<code>GET</code>请求用户将在他们的URL栏中看到数据,但是使用<code>POST</code>请求用户将不会看到。这一点很重要,有两个原因:</p>
<ol>
<li>如果您需要发送一个密码(或其他敏感数据),永远不要使用<code>GET</code>方法否则数据会在URL栏中显示,这将非常不安全。</li>
<li>如果您需要发送大量的数据,那么<code>POST</code>方法是首选的,因为一些浏览器限制了URL的大小。此外,许多服务器限制它们接受的URL的长度。</li>
</ol>
<h3 id="在服务器端检索数据">在服务器端:检索数据</h3>
<p>无论选择哪种HTTP方法,服务器都会接收一个字符串并解析,以便将数据作为键/值对序列获取。您访问这个序列的方式取决于您使用的开发平台以及您可能使用的任何特定框架。您使用的技术也决定了如何处理密钥副本;通常,最近收到的密钥的值是优先的。</p>
<h4 id="例如:原始PHP">例如:原始PHP</h4>
<p><a href="http://php.net/">PHP</a>提供了一些全局对象来访问数据。假设您已经使用了<code>POST</code>方法,那么下面的示例将获取数据并将其显示给用户。当然,你对数据的处理取决于你自己。您可以显示它,将它存储到数据库中,通过电子邮件发送它,或者以其他方式处理它。</p>
<pre class="brush: php"><?php
// The global $_POST variable allows you to access the data sent with the POST method by name
// To access the data sent with the GET method, you can use $_GET
$say = htmlspecialchars($_POST['say']);
$to = htmlspecialchars($_POST['to']);
echo $say, ' ', $to;
?></pre>
<p>这个例子显示了一个带有我们发送的数据的页面。您可以在我们的示例<a href="https://github.com/mdn/learning-area/blob/master/html/forms/sending-form-data/php-example.html">php-example.html</a>中看到这一点——该文件包含与我们之前看到的相同的示例表单,它使用了<code>post</code>的<code>method</code>和<code>php-example.php</code>的<code>action</code>。当提交时,它将表单数据发送到<a href="https://github.com/mdn/learning-area/blob/master/html/forms/sending-form-data/php-example.php">php-example.php</a>,其中包含了上述代码块中所见的php代码。当执行此代码时,浏览器中的输出是<code>Hi Mom</code>。</p>
<p><img alt="" src="https://mdn.mozillademos.org/files/14693/php-result.png" style="display: block; margin: 0 auto;"></p>
<div class="note">
<p><strong>注意:</strong>当您将本例加载到本地浏览器中时,这个示例将无法工作---浏览器无法解析PHP代码,因此当提交表单时,浏览器只会为您提供下载PHP文件。为了让它生效,您需要通过某种类型的PHP服务器运行这个示例。本地PHP测试的好选择有<a href="https://www.mamp.info/en/downloads/">MAMP</a>(Mac和Windows)和<a href="http://ampps.com/download">AMPPS</a>(Mac、Windows、Linux)。</p>
</div>
<h4 id="例子:_Python">例子: Python</h4>
<p>这个例子展示了如何使用Python完成同样的事情——在web页面上显示提交的数据。<br>
这将使用<a href="http://flask.pocoo.org/">Flask framework</a>来呈现模板、处理表单数据提交等(参见<a href="https://github.com/mdn/learning-area/blob/master/html/forms/sending-form-data/python-example.py">python-example.py</a>)。</p>
<pre>from flask import Flask, render_template, request
app = Flask(__name__)
@app.route('/', methods=['GET', 'POST'])
def form():
return render_template('form.html')
@app.route('/hello', methods=['GET', 'POST'])
def hello():
return render_template('greeting.html', say=request.form['say'], to=request.form['to'])
if __name__ == "__main__":
app.run()</pre>
<p>以上代码中引用的两个模板如下:</p>
<ul>
<li><a href="https://github.com/mdn/learning-area/blob/master/html/forms/sending-form-data/templates/form.html">form.html</a>: 与我们在 <a href="#post_方法">POST 方法</a> 小节中看到的相同的表单,但是将<code>action</code>设置为<code>\{{ url_for('hello') }}</code>。(这是一个<a href="http://jinja.pocoo.org/docs/2.9/">Jinja2</a>模板,它基本上是HTML,但是可以包含对运行包含在花括号中的web服务器的Python代码的调用。<code>url_for('hello')</code>基本上是在“提交表单时重定向到<code>/hello</code>”。</li>
<li><a href="https://github.com/mdn/learning-area/blob/master/html/forms/sending-form-data/templates/greeting.html">greeting.html</a>: 这个模板只包含一行,用于呈现渲染时传递给它的两个数据块。<br>
这是通过前面所见的<code>hello()</code>函数完成的,该函数在<code>/hello</code>URL被导向时运行。</li>
</ul>
<div class="note">
<p><strong>注意:</strong>同样,如果您只是尝试将其直接加载到浏览器中,那么这段代码将无法工作。Python的工作方式与PHP略有不同——要在本地运行此代码,您需要<a href="/en-US/docs/Learn/Server-side/Django/development_environment#Installing_Python_3">安装Python/pip</a>,然后使用<code>pip3 install flask</code>安装Flask。此时,您应该能够使用<code>python3 python-example.py</code>来运行这个示例,然后在浏览器中导航到<code>localhost:5000</code>。</p>
</div>
<h4 id="其他语言和框架">其他语言和框架</h4>
<p>还有许多其他的服务器端技术可以用于表单处理,包括<a href="/en-US/docs/" title="/en-US/docs/">Perl</a>、<a href="/en-US/docs/" title="/en-US/docs/">Java</a>、 <a href="http://www.microsoft.com/net">.Net</a>、<a href="/en-US/docs/" title="/en-US/docs/">Ruby</a>等。只挑你最喜欢的用就好。话虽如此,但值得注意的是,直接使用这些技术并不常见,因为这可能很棘手。更常见的是使用许多优秀的框架,这些框架使处理表单变得更容易,例如:</p>
<ul>
<li><a href="https://developer.mozilla.org/en-US/docs/Learn/Server-side/Django" rel="external">Django</a> for Python (比<a href="http://flask.pocoo.org/">Flask</a>要重量级一些,但是有更多的工具和选项。)</li>
<li><a href="https://developer.mozilla.org/en-US/docs/Learn/Server-side/Express_Nodejs">Express</a> for Node.js</li>
<li><a href="https://laravel.com/">Laravel</a> for PHP</li>
<li><a href="https://rubyonrails.org/" rel="external">Ruby On Rails</a> for Ruby</li>
<li><a href="https://phoenixframework.org/">Phoenix</a> for Elixir</li>
</ul>
<p>要注意的是,即使使用这些框架,使用表单也不一定很容易。但这比从头开始编写所有功能要简单得多,而且会节省很多时间。</p>
<div class="note">
<p><strong>注意:</strong>向您介绍任何服务器端语言或框架超出了本文的范围。如果你想要学习这些它们,上面的链接会给你一些帮助。</p>
</div>
<h2 id="特殊案例发送文件">特殊案例:发送文件</h2>
<p>用HTML表单发送文件是一个特殊的例子。文件是二进制数据——或者被认为是这样的——而所有其他数据都是文本数据。由于HTTP是一种文本协议,所以处理二进制数据有特殊的要求。</p>
<h3 id="htmlattrxref(enctypeform)_属性">{{htmlattrxref("enctype","form")}} 属性</h3>
<p>该属性允许您指定在提交表单时所生成的请求中的<code>Content-Type</code>的HTTP数据头的值。这个数据头非常重要,因为它告诉服务器正在发送什么样的数据。默认情况下,它的值是<code>application/x-www-form-urlencoded</code>。它的意思是:“这是已编码为URL参数的表单数据。”</p>
<p>如果你想要发送文件,你需要额外的三个步骤:</p>
<ul>
<li>将{{htmlattrxref("method","form")}}属性设置为<code>POST</code>,因为文件内容不能放入URL参数中。</li>
<li>将{{htmlattrxref("enctype","form")}}的值设置为<code>multipart/form-data</code>,因为数据将被分成多个部分,每个文件单独占用一个部分,表单正文中包含的文本数据(如果文本也输入到表单中)占用一个部分。</li>
<li>包含一个或多个<a href="/en-US/docs/Learn/HTML/Forms/The_native_form_widgets#File_picker">File picker</a>小部件,允许用户选择将要上传的文件。</li>
</ul>
<p>例如:</p>
<pre class="brush: html"><form method="post" enctype="multipart/form-data">
<div>
<label for="file">Choose a file</label>
<input type="file" id="file" name="myFile">
</div>
<div>
<button>Send the file</button>
</div>
</form></pre>
<div class="note">
<p><strong>注意:</strong>一些浏览器支持{{HTMLElement("input")}}的{{htmlattrxref("multiple","input")}}属性,它允许只用一个 <code><input></code> 元素选择一个以上的文件上传。服务器如何处理这些文件取决于服务器上使用的技术。如前所述,使用框架将使您的生活更轻松。</p>
</div>
<div class="warning">
<p><strong>警告:</strong>为了防止滥用,许多服务器配置了文件和HTTP请求的大小限制。在发送文件之前,先检查服务器管理员的权限是很重要的。</p>
</div>
<h2 id="常见的安全问题">常见的安全问题</h2>
<p>每次向服务器发送数据时,都需要考虑安全性。到目前为止,HTML表单是最常见的攻击路径(可能发生攻击的地方)。这些问题从来都不是来自HTML表单本身,它们来自于服务器如何处理数据。</p>
<p>根据你所做的事情,你会遇到一些非常有名的安全问题:</p>
<h3 id="XSS_和_CSRF">XSS 和 CSRF</h3>
<p>跨站脚本(XSS)和跨站点请求伪造(CSRF)是常见的攻击类型,它们发生在当您将用户发送的数据显示给这个用户或另一个用户时。</p>
<p>XSS允许攻击者将客户端脚本注入到其他用户查看的Web页面中。攻击者可以使用跨站点脚本攻击的漏洞来绕过诸如<a href="/en-US/docs/JavaScript/Same_origin_policy_for_JavaScript">同源策略</a>之类的访问控制。这些攻击的影响可能从一个小麻烦到一个重大的安全风险。</p>
<p>CSRF攻击类似于XSS攻击,因为它们以相同的方式开始攻击——向Web页面中注入客户端脚本——但它们的目标是不同的。CSRF攻击者试图将权限升级到特权用户(比如站点管理员)的级别,以执行他们不应该执行的操作(例如,将数据发送给一个不受信任的用户)。</p>
<p>XSS攻击利用用户对web站点的信任,而CSRF攻击则利用网站对其用户的信任。</p>
<p>为了防止这些攻击,您应该始终检查用户发送给服务器的数据(如果需要显示),尽量不要显示用户提供的HTML内容。相反,您应该对用户提供的数据进行处理,这样您就不会逐字地显示它。当今市场上几乎所有的框架都实现了一个最小的过滤器,它可以从任何用户发送的数据中删除HTML{{HTMLElement("script")}}、{{HTMLElement("iframe")}} 和{{HTMLElement("object")}} 元素。这有助于降低风险,但并不一定会消除风险。</p>
<h3 id="SQL注入">SQL注入</h3>
<p>SQL 注入是一种试图在目标web站点使用的数据库上执行操作的攻击类型。这通常包括发送一个SQL请求,希望服务器能够执行它(通常发生在应用服务器试图存储由用户发送的数据时)。这实际上是<a href="https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project">攻击网站的主要途径之一</a>。 </p>
<p>其后果可能是可怕的,从数据丢失到通过使用特权升级控制整个网站基础设施的攻击。这是一个非常严重的威胁,您永远不应该存储用户发送的数据,而不执行一些清理工作(例如,在php/mysql基础设施上使用<code><a href="http://www.php.net/manual/en/function.mysql-real-escape-string.php" rel="external">mysql_real_escape_string()</a></code>。</p>
<h3 id="HTTP数据头注入和电子邮件注入">HTTP数据头注入和电子邮件注入</h3>
<p>这种类型的攻击出现在当您的应用程序基于表单上用户的数据输入构建HTTP头部或电子邮件时。这些不会直接损害您的服务器或影响您的用户,但它们会引发一个更深入的问题,例如会话劫持或网络钓鱼攻击。</p>
<p>这些攻击大多是无声的,并且可以将您的服务器变成<a href="http://en.wikipedia.org/wiki/Zombie_(computer_science)">僵尸</a>。</p>
<h3 id="偏执永远不要相信你的用户">偏执:永远不要相信你的用户</h3>
<p>那么,你如何应对这些威胁呢?这是一个远远超出本指南的主题,不过有一些规则需要牢记。最重要的原则是:永远不要相信你的用户,包括你自己;即使是一个值得信赖的用户也可能被劫持。</p>
<p>所有到达服务器的数据都必须经过检查和消毒。总是这样。没有例外。</p>
<ul>
<li>远离有潜在危险的字符转义。应该如何谨慎使用的特定字符取决于所使用的数据的上下文和所使用的服务器平台,但是所有的服务器端语言都有相应的功能。</li>
<li>限制输入的数据量,只允许有必要的数据。</li>
<li>沙箱上传文件(将它们存储在不同的服务器上,只允许通过不同的子域访问文件,或者通过完全不同的域名访问文件更好)。</li>
</ul>
<p>如果你遵循这三条规则,你应该避免很多问题,但是如果你想要得到一个有能力的第三方执行的安全检查,这是一个好主意。不要以为你已经看到了所有可能的问题。</p>
<div class="note">
<p><strong>注意:</strong>我们的<a href="/en-US/docs/Learn/Server-side">服务器端</a>学习主题的<a href="/en-US/docs/Learn/Server-side/First_steps/Website_security">网站安全性文章</a>更详细地讨论了上述威胁和潜在的解决方案。</p>
</div>
<h2 id="结论">结论</h2>
<p>如您所见,发送表单数据很容易,但要确保应用程序的安全性是很棘手的。请记住,前端开发人员不是应该定义数据安全模型的人。是的,我们将看到,<a href="/en-US/docs/HTML/Forms/Data_form_validation">执行客户端数据验证</a>是可能的,但是服务器不能信任这种验证,因为它无法真正知道客户端到底发生了什么。</p>
<h2 id="相关链接">相关链接</h2>
<p>如果您想了解更多关于保护web应用程序的信息,您可以深入了解这些资源:</p>
<ul>
<li><a href="/en-US/docs/Learn/Server-side/First_steps">Server-side website programming first steps</a></li>
<li><a href="https://www.owasp.org/index.php/Main_Page" rel="external">The Open Web Application Security Project (OWASP)</a></li>
<li><a href="http://shiflett.org/" rel="external">Chris Shiflett's blog about PHP Security</a></li>
</ul>
<p>{{PreviousMenuNext("Learn/HTML/Forms/The_native_form_widgets", "Learn/HTML/Forms/Form_validation", "Learn/HTML/Forms")}}</p>
<h2 id="在本单元中">在本单元中</h2>
<ul>
<li><a href="https://developer.mozilla.org/en-US/docs/Learn/HTML/Forms/Your_first_HTML_form">Your first HTML form</a></li>
<li><a href="https://developer.mozilla.org/en-US/docs/Learn/HTML/Forms/How_to_structure_an_HTML_form">How to structure an HTML form</a></li>
<li><a href="https://developer.mozilla.org/en-US/docs/Learn/HTML/Forms/The_native_form_widgets">The native form widgets</a></li>
<li><a href="https://developer.mozilla.org/en-US/docs/Learn/HTML/Forms/Sending_and_retrieving_form_data">Sending form data</a></li>
<li><a href="https://developer.mozilla.org/en-US/docs/Learn/HTML/Forms/Form_validation">Form data validation</a></li>
<li><a href="https://developer.mozilla.org/en-US/docs/Learn/HTML/Forms/How_to_build_custom_form_widgets">How to build custom form widgets</a></li>
<li><a href="https://developer.mozilla.org/en-US/docs/Learn/HTML/Forms/Sending_forms_through_JavaScript">Sending forms through JavaScript</a></li>
<li><a href="https://developer.mozilla.org/en-US/docs/Learn/HTML/Forms/HTML_forms_in_legacy_browsers">HTML forms in legacy browsers</a></li>
<li><a href="https://developer.mozilla.org/en-US/docs/Learn/HTML/Forms/Styling_HTML_forms">Styling HTML forms</a></li>
<li><a href="https://developer.mozilla.org/en-US/docs/Learn/HTML/Forms/Advanced_styling_for_HTML_forms">Advanced styling for HTML forms</a></li>
<li><a href="https://developer.mozilla.org/en-US/docs/Learn/HTML/Forms/Property_compatibility_table_for_form_widgets">Property compatibility table for form widgets</a></li>
</ul>
|
