8

多くの人は、ほとんどのブラウザで利用可能な要素の検査機能を使用して、Webサイトのhtmlソースコードを編集できることを知っています。編集は実際のWebサイトではなく、ローカルマシンで行われるため、これはまったく無害です。私はそれが持っているかもしれない1つのセキュリティ問題について心配しています、そして誰かがそれに対する答えを知っているかどうか疑問に思います。

この機能は、提出されたフォームにどのように影響しますか。多くの場合、フィールドを非表示にして、特定のクエリを実行するために必要な値を格納できます。隠されたフィールドでその値を変更すると、サイトのセキュリティが損なわれる可能性があるのではないかと思います。これに関連するセキュリティ上の脅威はありますか?簡単に防御する方法はありますが、防御する価値のある欠陥なのかと思っていました。

助けてくれてありがとう。

4

3 に答える 3

7

はい、はい、それは大きなセキュリティ問題です。

ユーザーから提供されたデータ、つまりプロキシ、Webページの送信によって提供されたデータを絶対に信用しないでください。

于 2013-01-28T15:20:35.957 に答える
1

もちろん、これは悪影響を与える可能性があります。フォームの重要な値が訪問者によって変更されていないことを確認する必要があります。たとえば、select入力では、選択した値がサーバー側でコードに入力した値であることを確認してください。

于 2013-01-28T15:21:45.973 に答える
0

はい、これは間違いなく検討する価値があるだけでなく、必須です。

これが、クライアント側の検証では不十分であり、すべてに対してサーバー側の検証が必要な理由です。

ここで言うことはたくさんありますが、ここにあなたが考慮すべきチェックのいくつかがあります:

  • テキスト入力の長さ(適用される場合、ほとんどの場合適用されるはずです)。
  • 許可される文字。数字が入っている名前がたくさんあるのではないかと思います。
  • データのタイプ(数値を期待している場合は、それが数値であることを確認してください)。
  • 選択とチェックボックスから受け取った値が実際に期待されるデータのリストにあることを確認してください
  • 特定の形式(たとえば、電子メールアドレス)。
  • アップロードされたファイルのファイル拡張子、MIMEタイプ、およびサイズを確認してください

さらに、現時点で考えられるのはこれだけです。

于 2013-01-28T15:25:00.710 に答える