有没有办法验证用户在使用客户端页面期间使用 Firebug 更改了 jQuery/JavaScript?
问问题
132 次
3 回答
4
不,没有办法验证这一点。
当涉及到来自浏览器的输入时,您应该始终进行验证和确认。永远不要相信客户。
于 2012-09-19T10:07:44.017 回答
1
不,客户端从根本上说是不安全的,属于用户,而不是你。
于 2012-09-19T10:07:47.393 回答
0
简短的回答没关系。
长答案:
如果您将 JavaScript 视为应用程序结构的一部分,这很重要,类似于 SQL 注入攻击如何对您的系统造成不良影响。您应该验证从客户端传递的任何内容在存储之前都经过了清理。这里有趣的攻击向量是如果你允许我将元素持久化到网页结构中并在以后检索它们。你打开了反射 XSS 攻击的大门(我的最爱之一)。这表明未能清理用户输入和/或未能将关注点 UI 从系统级代码中分离出来。
于 2012-09-19T16:21:40.600 回答