POST は発信元ドメインに関して偽装できることは知っていますが、HTML 内の非表示の POST 変数の変数を変更できるとしたらどうでしょうか。誰かが PayPal フォームの「金額」の値を次のように変更できるのではないかと心配しています。
<input type="hidden" name="amount" value="1.00">
これに:
<input type="hidden" name="amount" value="0.01">
または似たようなもの。ありがとう。
ベストアンサー1
はい、フォーム変数を変更するのは誰でも簡単です。GET か POST かはまったく問題ではありません。
Web セキュリティ ルール 1: ユーザーの入力を決して信用しないでください。「すべてのユーザーは悪意のあるハッカーである」などとも言われます。
コメントへの回答: 解決策は、クライアント側 (Javascript) に渡すことなく、サーバー側で正しい値をすべて把握することです。したがって、フォームの内容に関係なく、価格はすでにわかっています。最初にフォームに入力したのと同じ値を使用するだけです。