Vorrei sapere se ci sono problemi di sicurezza quando si impostano i valori dei campi modulo direttamente tramite Javascript. Sono abbastanza sicuro che sia sicuro farlo in tutte le circostanze, ma dovrei essere assolutamente sicuro invece di essere abbastanza sicuro. Quindi, sto chiedendo le tue opinioni.Considerazioni sulla sicurezza durante l'impostazione dei valori dei campi modulo tramite Javascript?
quello che voglio dire:
Supponiamo che io abbia un modulo HTML che contiene un campo di input di testo con ID "txt_Field", e sto facendo il seguente:
...
myvalue = "<script>alert('I am evil');</script>";
document.getElementById("txt_Field").value = myvalue;
...
cioè io pongo il valore del campo modulo a una stringa che è contenuta in una variabile senza eseguire l'escape o il filtraggio di quella stringa in alcun modo. Ovviamente, quella stringa in realtà conterrebbe input generati dall'utente con cose malvagie di ogni tipo.
Tuttavia, penso che sia sicuro farlo. Qualcuno sa di un esempio che dimostra il contrario?
Si noti che la domanda non è se il valore del campo modulo non filtrato potrebbe causare danni al back-end quando i dati del modulo vengono inviati al server.
Vorrei solo sapere se qualcuno potrebbe pensare a qualsiasi contenuto di myvalue che potrebbe ingannare un browser (moderno) in uno strano comportamento quando i valori dei campi modulo sono impostati in questo modo, o se ho generalmente frainteso qualcosa di molto importante.
Grazie mille!