Web サイトの脆弱性についての考えがありましたが、それが可能かどうか知りたいです。また、それらを修正する方法に関するいくつかの提案。
Web サイトの一部がデータを DOM に書き込み、そこからデータを呼び出した場合、誰かがブラウザーで DOM を編集してサーバーを「ハッキング」することは可能でしょうか?
たとえば、いくつかのラジオ ボタンがあるとします。各ボタンには、関連付けられた独自のロジックがあります。ボタンの1つを削除しても、ロジックの削除またはコメントアウトに失敗した場合、誰かが入ってボタンの1つのDOM名を削除されたものに編集し、送信時に削除されたボタンに関連付けられたロジックをサーバーに実行させることができますか?ラジオボタン?
削除されたボタンのロジックを削除またはコメントアウトすることで、その状況を修正する方法は理解していますが、DOM を介して操作できるものにサイトが大きく依存しすぎているのではないかと心配しています。したがって、私は疑問に思っています:
あなたの質問への答えはイエスです。たとえば、多くのブラウザでは JavaScript コンソールを開いて、DOM だけでなくサイトの JavaScript も変更できます。
Web ページ用に記述したコードが、コーディングしたとおりに実行されるという保証はありません。どのユーザーも自分のコピーを変更できます。彼らができないことは、他の人のコピーを変更することです。これをクロス サイト スクリプティング (XSS) 攻撃と呼びます。(通常は、データベース サーバーに保存され、別のユーザーに提供されるフィールドにスクリプトを追加することによって行われます。)
サイトを保護するには、すべての Web サービス呼び出しが安全であることを確認する必要があります。つまり、ユーザーが悪意のあるデータでそれらを呼び出して問題を引き起こすことができないということです。
また、SQL インジェクション攻撃をブロックする必要もあります。
ユーザーが自分のマシンで Web ページを変更して意図しない動作をさせないようにする方法はないため、すべての検証はブラウザーとサーバーの両方で行う必要があります。
ローカル ブラウザーの動作を簡単に変更できる例として、ブラウザー拡張機能を考えてみましょう。ブラウザー拡張機能は、Web ページがローカルで動作する方法を変更するための事前にコード化された方法です。(広告ブロッカーを具体例として考えてください。)