php – 防止隐藏的输入被改变

栏目: PHP · 发布时间: 5年前

内容简介:翻译自:https://stackoverflow.com/questions/6312779/prevent-hidden-input-from-being-altered

这一直在强调我..我有一个隐藏的输入:

<input type="hidden" value="North Miami" name="city">

在提交表单之前,我通过javascript使用有效的城市名称填充隐藏的输入.假设有人想提交香蕉而不是城市名称.罪魁祸首可以很容易地通过像Richbug这样的DOM检查员改变输入值.

如何确保隐藏的输入不被篡改?我已经验证了针对攻击的输入,但只要我接受字母字符,就可以提交任何内容,因此香蕉……

编辑:我指的是隐藏的输入,而不仅仅是城市名称.由脚本填充的任何值和必须不加改变地提交的值.

一些想法:

>仅限服务器端.最简单的方法是使用会话变量(如$_SESSION),以便保留在服务器端的所有数据,但管理它并保持用户可能单独打开的单独选项卡可能会有点棘手.此选项可防止用户查看或编辑信息.

>使客户端携带加密的blob.获取所有“临时但受保护”的数据,以某种方式将其组合(例如JSON),然后使用仅为服务器知道的密钥加密*整个事物. Base64结果并将其放入隐藏字段值. (请注意,对于高安全性的应用程序,您还需要将HMAC用于此过程,该过程验证密文未被修改.)此选项还会阻止用户查看或编辑信息,但可以更轻松地处理一个用户打开多个选项卡的情况.

>仍然使用不那么秘密的隐藏输入字段,但添加了防篡改机制.因此,在生成页面时,获取所有现有的“受保护”变量,将它们以某种方式与服务器端秘密值组合,并将它们哈希[更正:HMAC].将哈希存储在自己的隐藏字段中.然后在用户提交后,重复该过程并检查哈希是否匹配.如果没有,请将安全违规页面的所有内容都包含在内.

*与所有加密技术一样,这样做“正确”的方式可能很棘手,并且很大程度上取决于您如何加密/验证.在密码和密码模式等方面存在很多陷阱.

最后,请记住,阻止人们修改它并不意味着用户无法复制所有内容并在以后或其他帐户下重复使用,除非您采取措施包含“时间戳”等.

翻译自:https://stackoverflow.com/questions/6312779/prevent-hidden-input-from-being-altered


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

玩法变了

玩法变了

胖胡斐 / 电子工业出版社 / 2012-1 / 39.00元

《玩法变了:淘宝卖家运赢弱品牌时代》内容简介:目前网店的销售、运营、营销都碰到很多瓶颈,钱不再好赚,流量不再免费的情况下。网店常常陷入不断找流量的怪圈中,而真正潜心提升基本功的网店却拥有更多机会,网店需要突围。《玩法变了:淘宝卖家运赢弱品牌时代》系统地介绍整个电子商务零售领域的玩法变化,从网店基本功到网店品牌建设都有涉及。《玩法变了:淘宝卖家运赢弱品牌时代》将是网店用户重要的方法论和实践指南。一起来看看 《玩法变了》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换