在我的旅行中,我遇到了一些 url hacks,并在我有时间查看的几个浏览器中查看了一些开发工具,这让我问了这个问题。
是否有黑客或工具可以去除脚本化的 javascript 函数和/或允许用户填充他们自己的参数并运行这些函数?
当然,我并不是说如果您不总是过滤全局变量,那么注册全局变量会造成明显的安全漏洞;我也不是说表单注入黑客基本上。
在任何输入到达服务器脚本之前,我确实使用了很多 xmlhttprequest 帖子和分隔字符串,同时将 php preg_match 用于每个不同的 post var 不同的基本字符。注册全局 -> 关闭。但是我想我正在寻找可以调整某些功能以对我更安全的东西。
IE ..我不希望这些函数以工具所能达到的速度连续调用 1000 次,但如果某些事情是安全的,我不想浪费资源。
我问这个不仅是出于安全原因,也是出于大小和优化的原因。
我认为数据包嗅探器/拦截器/发送器可能能够,但我不是 100% 确定。另外,我不确定是否需要如此之大,以至于不遗余力地计算可能影响服务器性能的调用(如果无法完成)。IE .. 监控服务器上的 xmlhttprequests。
////////////// 编辑 //////////
作为参考,我刚刚遇到的一个工具,.htaccess 文件能够通过查询中的内容进行重定向。我想这不是万无一失的,它只是众多工具中的一种。但是它可以防止 url 攻击。在我看来,当 apache 调用 .htaccess 文件在成功捕获时停止最多加载时,它可以通过重定向来减少负载。http://simonecarletti.com/blog/2009/01/apache-query-string-redirects。