关于页面开发的安全，防止重复提交以及浏览器拦截策略

关于安全：
1.虽然有的输入项是ajax校验，但是也需要在提交的时候全部再校验一遍，防止用户直接F12改里面的内容。

2.前台传来的都是不可信的都需要后台校验

3.对于跨站攻击：用户提交的内容有JS脚本，提交后，脚本内容执行，获取用户信息
例如：评论里面写上js脚本，获取用户cookie里面的sessionID或者密码，发送给一个指定的服务地址，
当其他用户点击带这个评论的页面时，用户的sessionId或者密码就被窃取。

跨站攻击解决方案：1.过滤特殊字符并限制长度  2.用户提交的内容在页面刷新完后再用ajax加载出来

 

防止重复提交

一般的提交都是用ajax提交（form.serize()或将表单中的内容拼成一个json），根据返回弹窗或者跳转。可以在提交方法的入口把提交按钮改成disable的，最后在重置回来。

 

 

浏览器拦截策略
点击弹窗（window.open），浏览器是不会拦截的。但是，如果和后台交互过一次以后再弹窗，比如：点击后触发ajax去后台校验，然后根据返回来判断弹窗的页面并弹窗,此时浏览器会拦截。