旅行中にいくつかの URL ハッキングに出くわし、見る時間があったいくつかのブラウザーでいくつかの開発ツールを見て、この Q.
スクリプト化された JavaScript 関数を削除したり、ユーザーが自分自身の引数を入力して関数を実行できるようにするハックやツールはありますか?
もちろん、グローバルを常にフィルタリングしないと、グローバルを登録することで生じる明らかなセキュリティ ホールを意味するわけではありません。また、基本的にフォーム インジェクションのハックという意味でもありません。
入力がサーバースクリプトに到達する前に、さまざまな投稿変数ごとに異なる基本文字にphp preg_matchを使用しながら、多くのxmlhttprequest投稿と区切り文字列を使用します。グローバル登録 -> オフ。ただし、特定の機能をより安全に調整できるものを探していると思います。
IE ..ツールが処理できる速さで関数を1000回連続して呼び出したくありませんが、特定のものが安全な場合はリソースを無駄にしたくありません。
セキュリティ上の理由だけでなく、サイズと最適化の理由からもこれを求めています。
パケット スニファー/インターセプター/送信者ができる可能性があると考えていますが、100% 確実ではありません。また、実行できない場合にサーバーのパフォーマンスに影響を与える可能性のある呼び出しをカウントするために、その必要性が非常に大きいかどうかはわかりません。IE.. サーバーで xmlhttprequests を監視します。
////////////// 編集 //////////
参考までに、私が出会ったばかりのツールである .htaccess ファイルには、クエリの内容によってリダイレクトする機能があります。私はそれが絶対確実ではなく、多くのツールの 1 つにすぎないと思います。ただし、URL 攻撃から保護できます。apache が .htaccess ファイルを呼び出し、成功したキャッチでほとんどの読み込みを停止すると、リダイレクトによって負荷を軽減できるように思えます。http://simonecarletti.com/blog/2009/01/apache-query-string-redirects .