¿Se puede falsificar una etiqueta meta? (¿Es un metatag suficiente para declarar que una página está protegida?)

Cualquier cosa proporcionada por el cliente al servidor puede ser alterada por el cliente, incluyendo cualquier contenido / etiquetas HTML.

Observe productos como Burp Proxy para darle una idea del poder disponible para el cliente. Le permite interceptar manualmente las respuestas y luego inspeccionarlas y editarlas antes de enviarlas. Es una herramienta muy común para los piratas informáticos (y profesionales de seguridad) para usar.

La pregunta real que debe hacerse es si su usuario puede editar los archivos html. Si sus usuarios pueden editar o cargar archivos html, deberá asegurarse de que su servidor esté configurado para que no los procese (es decir, se sirvan como un simple archivo estático) o que solo los usuarios privilegiados y confiables puedan subir a áreas que permitan procesar las páginas como código del lado del servidor.

Otra consideración es que es posible que desee verificar que la etiqueta meta no esté presente en el resultado final de la página. Esto puede filtrar información de autorización y, dependiendo de su modelo de seguridad, esto puede ser un problema.

Ya sea que use una metaetiqueta o una base de datos o algo más para implementar la autorización, es irrelevante. Lo que importa es que el componente que exige la autorización debe ser el servidor (y no el cliente). Su cliente se ejecuta en la máquina del usuario, debe asumir que puede hacer cualquier cosa en su máquina, como no respetar ningún código que le haya pedido al cliente que ejecute o divulgue al usuario el contenido de cualquier cosa que viaje entre el servidor y el cliente.