0

私のサイトでは、ユーザーは 1 日に 1 回だけ個人情報を変更できます。スクリプト側では、許可されているかどうか (つまり、最後の変更から 24 時間経過しているかどうかをデータベースで確認する) と、フォームを表示するかどうかを決定します。

私の質問は、フォームがない場合、悪意のあるユーザーが情報を送信できますか? つまり、FORM elementデータがない場合は、ユーザーのブラウザから送信する必要がありますよね?

私が恐れているのは、誰かがデータを送信できたとしても、スクリプトはそれを処理し、個人情報を変更してはならないときに変更してしまうことです。

4

3 に答える 3

2

もちろん、これは一種のリプレイ攻撃になります。リソース エンドポイントが悪意のある POST 要求を処理する限り、前の GET の内容に関係なく、脆弱になります。

覚えておいてください:クライアントを決して信用しないでください。POST リクエストを処理する前に認証と承認のチェックを行っていれば、問題ありません。

于 2013-04-08T21:40:26.610 に答える