Как скрыть от опытного пользователя возможность отправить скрытую изначально форму?

Question

[Александр Логинов-Солоницын]

Суть вопроса: есть несколько форм, которые открываются последовательно при успешном заполнении предыдущей (отправка полей осуществляется AJAX).
Раньше как-то не задавался таким вопросом, но сейчас подумал, а как избежать пропуска одной или нескольких форм?
Все формы лежат в одном html документе и у всех кроме первой стоит display:none. Соответственно при успешном заполнении формы и нажатии кнопки, текущая форма скрывается и показывается следующая. Как избежать случая, когда user сам поменяет display на block?
Я понимаю, что можно посредством append() добавлять содержимое формы при заполнении предыдущей, но если user совсем умный(или чересчур любопытный), он ведь может залезть в sourses, и банальным копирование перенести мой template в html и заполнить его, благополучно пропустив n-ое количество форм, которые по идее должны быть им заполнены.
Можно конечно объявить глобальный объект и добавить в него поле, например:

var Sitename = {}
Sitename.countForm = 0;

И при условии заполнения формы просто после успешной отправки формы делать инкрементацию этого поля:

$.ajax({
.... ,
success: function() {
    Sitename.countForm++;
}
});

а перед отправкой следующей проверять, чему равно это поле. И если условие не проходит, то делать просто

document.write(' Теперь придется пере загрузиться ');

Мне кажется этот способ более гуманный, так как если например придется править форму, а она в виде строки лежит в переменной, то мало приятного в ней копаться, да и более менее опытный пользователь интернета сможет обойти эту меру.
Способ же с переменной как минимум заставит пользователя покопаться в коде. И возможно отказаться от идеи обойти систему какими-либо средствами.

Я только начинаю серьезно вникать в front-end, поэтому стараюсь решать поставленные задачи по возможности качественно. Вот потихоньку добрался и до вопроса безопасности.

Если есть какие-либо наработки у кого-нибудь по этому поводу, буду очень признателен за ваше словесное описание решения проблемы. Спасибо за внимание)

пс. Не исключено, что проблемы то никакой и нет, а просто я недальновидный и мало знаю, поэтому не пинайте сильно если эта проблема кажется вам изначально следствием моей неопытности и возможно криворукости =))

Answer 1

[Alex XYZ]

На клиенте - никак. Клиентом может быть что угодно. Надо на сервере блокировать неправильную последовательность форм.

Comments

[Александр Логинов-Солоницын]

Да, этот вариант я упустил из вида) Ну когда то я же должен был этим вопросом задаться) Не все ведь время говнокодить =)

Answer 2

[Максим]

А можно формы по одной подгружать.
Отобразилась первая - Ответил, Загрузил вторую. и так далее

Comments

[Александр Логинов-Солоницын]

Согласен, как идея присылать AJAX-ом каждую новую форму)

[Максим]

Александр Логинов-Солоницын: вот вам и решение вопроса =)

[Александр Логинов-Солоницын]

Вот так по крупицам и строится знание и осознание того, чем ты занимаешься. А главное ведь если бы на практике такого задания не встретил, так и не задался бы этим вопросом) Спасибо

[Александр Логинов-Солоницын]

Артём Петренков: Да, тоже как вариант, но уже продвинутый для меня)))) А при успешном заполнении переменные сессии очищать. С куками и сессией еще не работал на javascript, поэтому спасибо за пищу для гугления )) Это наверное самый гуманный вариант - аяксом присылать новую форму, а введенные данные временно хранить в куках или сессионных переменнных) БД наврятли разрешат под это дело юзать. Всетаки на мне только верстка ну и интерактив кое-какой )) А я вон уже сколько вариантов узнал.

Answer 3

[Phizio]

Во фронтенде нет смысла защищать, того, что форма не видима обычному юзеру - вполне достаточно.

Это примерно так же, как ставить детскую коляску в подъезд в надежде что ее не сопрут.
И пытаться поставить на подъезд домофон в надежде повысить безопасность.
У профессиональных коляско-хакеров будет "вездеходный" ключ и они откроют домофон, зайдут в подъезд.

Безопасность можно повысить только в самой коляске (пристегнув ее к трубе замком) - аналогия:
На сервере нужны проверки. Т.е. не принимать данные от второй формы, если не стоит флаг, что первая уже приходила (или не флаг, просто проверять наличие данных в базе от результата первой формы).

Comments

[Александр Логинов-Солоницын]

Насчет проверки введенных данных из БД идея неплохая, когда ты один (со своей командой) разрабатываешь сайт. В моем же случае моя верстка и скрипты будут отданы другим людям, которые будут интегрировать этот сайт со своим сервисом. И что-то мне подсказывает, что отправлять данные с формы они будут в свое стороннее хранилище, так что это не вариант. Поэтому хотелось бы все проверки делать по возможности на клиенте. Так что вариант с глобальным объектом в этом случае предпочтительнее) Либо как сказали выше отправлять каждую форму аяксом. А если по аналогии с коляской, то коляско-хакер идет на дело не только с универсальным ключом для подъезда , но и с ножовкой по металлу) В любом случае если захотят сломать-сломают, я же просто хочу защититься от неадекватного поведения пользователя. Сейчас же большинство людей могут изучить и понять исходный код страницы, могут изменить его. И в итоге поиздеваться над моим приложением, например минуя первую форму, получить доступ ко второй. А этого очень бы не хотелось.

[Phizio]

Александр Логинов-Солоницын: тогда однозначно - запрашивать следующую форму с сервера аяксом. Пока первую не заполнят, и сервер не валидирует ее заполнение - следующая форма просто "не существует" на клиенте.

[Александр Логинов-Солоницын]

Phizio: Вот это разумное решение) Мне кажется, что если Бог создал AJAX, то его нужно использовать =))

Answer 4

[jlekapb]

Я не понял, а зачем скрывать формы?
Вы же их потом покажете пользователю, чтобы он заполнил.

Comments

[Александр Логинов-Солоницын]

Скрывать нужно по тому, что того требует ТЗ)

[jlekapb]

Александр Логинов-Солоницын: имхо, тот факт что это указано в ТЗ не объясняет того, зачем это нужно делать.

[Александр Логинов-Солоницын]

jlekapb: Так нужно делать, по тому что такое поведение форм описано в техническом задании к сайту. Если Вы привыкли читать ТЗ сквозь пальцы и не точно следовать ему, то это не означает, что все так должны делать. Согласен, возможно проблема и не столь опасна, но она есть и например мне это не дает покоя. А Вам видимо было бы на это наплевать) Но это как говорится уже не мое дело))

[jlekapb]

Александр Логинов-Солоницын: не ясно, зачем переходить на личности. Я предложил разумное решение. В моей голове оно менее трудозатратно, чем вроторить такую хуйню с формами, "потому что это прописано в ТЗ".

[Александр Логинов-Солоницын]

jlekapb: Первое - Ну а как иначе продолжать с Вами диалог, после слов - "это указано в ТЗ не объясняет того, зачем это нужно делать."? Если Вас задело то, что я написал, то извините). Написал как думаю, причем заметьте, без мата. Да и тем более я добавил, что в конце концов это не моё дело)
Второе - "Я предложил разумное решение." - Хде оно? Можете повторить для тех кто в танке?)
Третье - "вроторить такую хуйню с формами" - ну по идее это так называемая Вами "хуйня" описана в ТЗ довольно таки четко. Поэтому не вижу причин её игнорить. Тут уже как говорится вопрос проф пригодности)
Четвертое - "голове оно менее трудозатратно" - ну так и изложили бы его в первом ответе! Зачем умничать-то? Ваше - "Я не понял, а зачем скрывать формы?" не является решением, это называется вопросом на вопрос.
Пятое - "хуйню " - и к чему этот мат? Он только портит отношение к Вам как к собеседнику.

[jlekapb]

Александр Логинов-Солоницын: Я предлагаю обсудить этот момент с заказчиком и объяснить ему неразумность данной затеи и дополнительные денежные и временные затраты для него. Возможно это и не так актуально, как вы думаете.
Сам не раз сталкивался с заказчиками, которые просили убрать возможность сохранять картинки или смотреть исходный код страницы.

[Александр Логинов-Солоницын]

jlekapb: "Возможно это и не так актуально, как вы думаете." - Могу Вас заверить, актуальнее не бывает. Так как на этом построен весь дизайн, который уже утвержден. Я бы сказал даже, что на этих шагах построен сам личный кабинет для пользователей. Это сравни тому, что я бы например отказался верстать чекбоксы согласно дизайну или например кнопку загрузки файла.
А вот это "убрать возможность сохранять картинки или смотреть исходный код страницы" как раз на мой взгляд и есть делание проблемы из ничего и паранойей высшей степени). Вы же понимаете, что если захотят просмотреть Ваш код, найдут способ. С такими просьбами я лично не сталкивался) Может слишком мало веб-мастерингом занимаюсь))
Так что подгрузка новой формы по требованию, не такое уж и большое зло на мой взгляд)