我看过这个链接:https://www.owasp.org/index.php/Input_Validation_Cheat_Sheet其中讨论了在下拉菜单上使用白名单。
我不明白的是,当可供选择时,为什么要在选项列表中使用白名单?
我理解为什么您会在用户输入(例如输入您的名字等)上使用它,但我不明白为什么您会在选项上使用它,因为用户没有实际输入某些内容。
还是我只是看错了?
用户仍然可以修改 Dropbox 中的数据并将数据提交到您的网页。这就是原因。
您假设他们会使用您的表单发布到表单处理器,但事实并非如此。
除此之外,很容易使用例如firebug从下拉列表中修改值,然后发布表单。