Según mi conocimiento, los campos de formulario ocultos son una alternativa para la naturaleza sin estado de HTTP. Actúan como un token de sesión, al igual que las cookies. ¿Cómo se pueden usar valores ocultos para modificar los precios?
Los campos de formulario ocultos hacen que algunos datos se envíen con un formulario. Por ejemplo:
<form method="POST" action="/post_answer">
<textarea name="answer"></textarea>
<input type="hidden" name="question_id" value="161719">
</form>
De esta manera, si escribo una respuesta en el área de texto, el servidor sabe que esta respuesta es para la pregunta 161719.
Esto es diferente de un token de sesión. Un token de sesión se almacena en una cookie e identifica la sesión. Lo que quizás quiere decir es que el ID de la pregunta podría almacenarse en la sesión. Eso es cierto, con un ligero cambio en el comportamiento: si visito varias preguntas en varias pestañas y las contesto fuera de orden, la identificación de la pregunta en la sesión será incorrecta. El publicado con la respuesta en el campo de formulario oculto seguirá siendo correcto.
Entonces, ¿cómo se pueden modificar los precios? Si el formulario se ve así:
<form method="POST" action="/finish_order">
Enter your shipping address: <textarea name="address"></textarea>
<input type="hidden" name="price_to_pay" value="$123.45">
<input type="hidden" name="order_id" value="6789">
</form>
Aquí el price_to_pay
se envía a finish_order
, y se le cobra $ 123.45. Sin embargo, puede modificar fácilmente este valor para que se cargue menos. Si esto funciona y si su pedido aún se envía, depende de la implementación del sitio web y de las verificaciones de procedimientos existentes.