Мамкин хацкер

Недавно я пользовался одним из отечественных аналогов Notion и захотел изменить поддомен своего пространства. Логично было предположить, что это можно сделать в настройках.

В интерфейсе действительно оказалось поле с текущим поддоменом, но оно было недоступно для редактирования. Я решил, что поддомен задаётся только при регистрации и изменить его нельзя.

НО меня почему-то попёрло посмотреть исходных код страницы. Моё внимание привлёк HTML-тег input. Там я увидел примерно следующее:

Ключевым оказался атрибут readonly. Я удалил его прямо в DevTools, изменил значение поля и нажал "Сохранить".

И... это сработало. Поддомен изменился, причём даже настроен редирект со старого на новый.

Я не до конца понял, было ли это ограничение связано с платной версией или просто служило защитой от массового изменения поддоменов.

Вывод: проверка данных должна проводиться не только на стороне клиента, но и на стороне сервера.