恶意黑客会改变隐藏的帖子变量吗？

是的，任何人都可以轻松修改表单变量。它们是GET还是POST根本不重要。

Web 安全规则 #1：切勿信任任何用户输入。也表示为“所有用户都是恶意黑客”或其某些变体。

回答评论：解决方案是知道服务器端的所有正确值，而不必通过客户端（Javascript）传递它们。因此，无论表格说什么，您都已经知道价格。只需使用您最初用于填充表单的相同值即可。

2020年更新：

OWASP在“注入理论”中涵盖了这个主题，其中应用程序接受来自不受信任，不受控制或可能受到损害的来源的数据。

注入是攻击者尝试以改变发送给解释器的命令的含义的方式向应用程序发送数据。

查看此 OWASP“备忘单”，大致了解可以实施的缓解措施，以更好地保护基于 REST 的终结点。

是的，使用浏览器检查器工具，JavaScript，cURL和其他工具非常简单。

您不应依赖字段作为您最初在对客户端的响应中传输的内容。更安全的方法是依赖项目的标识符，您可以将该标识符映射到服务器上的价格（更受控制的环境）。amount