Hallo

In einem Formular (method="Post") habe ich ein ReadOnly-Feld definiert ... damit der User die Daten in diesem Feld nicht manipulieren kann. Ein findiger User hat aber ja die Möglichkeit, den Wert des Felds per JS in den Developer-Tools zu manipulieren und dann das Formular abzuschicken.

Ja, isso.

a) Ist das problematisch?

Kommt auf den Fall an, aber prinzipiell: ja, kann es.

b) lässt sich das unterbinden?

Ja, lässt es sich. Du musst dir die Frage stellen, was du mit den Werten aus gesperreten Feldern zu tun gedenkst. Warum werden diese Werte überhaupt im Formular in (gesperrten) Eingabefeldern angeboten, wenn sie doch nicht verändert werden dürfen?

Du kannst die Ausgabe in gesperrten Eingabefeldern weglassen und stattdessen eine reine Textausgabe ohne input realisieren. Du kannst die Werte, die aus gesperrten Eingabefeldern kommen, bei der Verarbeitung auf dem Server verwerfen. Sie kommen doch in der Ausgabe des Formulars mutmaßlich vom Server und stehen dir dort also auch zur Verfügung.

Tschö, Auge