据我所知,验证失败方法是有缺陷的,不应使用。而是使用以下方法之一:
将验证错误消息存储在会话中并进行重定向。
使用AJAX提交表单
使用Javascript在客户端上捕获所有验证错误,并将到达服务器的验证失败视为应用程序错误,并假定有人不使用应用程序表单直接发送到服务器,或者应用程序表单有错误。如果您转至错误页面,您将遇到同样的问题,但攻击者应获得丰富的浏览器历史记录。如果会话可用,则可以将错误消息填充到会话中并进行重定向。不管哪种方式,它都以“正常”操作从服务器删除验证,并在某种程度上回避了问题。
