许多人都知道,人们可以使用大多数浏览器上提供的检查元素功能来编辑网站的 html 源代码。这是非常无害的,因为编辑只发生在本地机器上,而不是实际网站上。我担心它可能存在的一个安全问题,我想知道是否有人知道它的答案。
此功能如何影响提交的表单。通常可以隐藏字段并存储运行特定查询所需的值。我想知道人们是否在隐藏字段上更改了该值会损害网站的安全性?是否存在与此相关的任何安全威胁?我有办法轻松防御它,但我只是想知道这是否是一个值得防御的缺陷。
谢谢您的帮助。
user1928545
问问题
341 次
3 回答
7
是的,是的,这是一个巨大的安全问题。
永远不要相信用户提供的数据,这意味着,通过代理,通过网页提交。
于 2013-01-28T15:20:35.957 回答
1
这当然会产生负面影响。您必须确保访问者没有更改表单中的重要值。例如,在选择输入中,确保所选值是您自己在服务器端放入代码中的值。
于 2013-01-28T15:21:45.973 回答
0
是的,这绝对不仅值得考虑,而且是强制性的。
这就是为什么客户端验证还不够,您需要对所有内容进行服务器端验证。
这里有很多话要说,但这里有一些你应该考虑的检查:
- 文本输入的长度(它们适用的地方,它们应该在大多数情况下适用)。
- 允许的字符。我怀疑有很多名字中有数字。
- 数据类型(如果您需要一个数字,请确保它是一个数字)。
- 确保从选择和复选框收到的值实际上在预期数据列表中
- 特定格式(例如电子邮件地址)。
- 检查上传文件的文件扩展名、MIME 类型和大小
还有更多,这是我目前能想到的。
于 2013-01-28T15:25:00.710 回答