input设置为readonly后js设置intput的值后台仍然可以接收到

今天发现一个奇怪现象，一个input属性readonly的值被设置为readonly，然后有前台js给input设置了新值。

虽然前台看不到效果，但是提交到后台后，仍然可以接收到新值，感觉很奇怪。

我本来以为是别人写的代码有问题，js的执行肯定没有什么效果的。但是调试后，我发现可以接收到新值。

这真是一个奇怪的现象。

 

问了群友，有人这么说：

 readonly只是限制用户输入的。。。
你要这么问的话。。
input type=password .value 获取的也不是 *****啊 

 

有人这么说：

 form 针对有type标签的提交内容 可以用disabled来禁止提交内容
但针对其它非法提交肯定可以绕过JS的，后台也需要效验