内容简介:翻译自:https://stackoverflow.com/questions/6312779/prevent-hidden-input-from-being-altered
这一直在强调我..我有一个隐藏的输入:
<input type="hidden" value="North Miami" name="city">
在提交表单之前,我通过javascript使用有效的城市名称填充隐藏的输入.假设有人想提交香蕉而不是城市名称.罪魁祸首可以很容易地通过像Richbug这样的DOM检查员改变输入值.
如何确保隐藏的输入不被篡改?我已经验证了针对攻击的输入,但只要我接受字母字符,就可以提交任何内容,因此香蕉……
编辑:我指的是隐藏的输入,而不仅仅是城市名称.由脚本填充的任何值和必须不加改变地提交的值.
一些想法:
>仅限服务器端.最简单的方法是使用会话变量(如$_SESSION),以便保留在服务器端的所有数据,但管理它并保持用户可能单独打开的单独选项卡可能会有点棘手.此选项可防止用户查看或编辑信息.
>使客户端携带加密的blob.获取所有“临时但受保护”的数据,以某种方式将其组合(例如JSON),然后使用仅为服务器知道的密钥加密*整个事物. Base64结果并将其放入隐藏字段值. (请注意,对于高安全性的应用程序,您还需要将HMAC用于此过程,该过程验证密文未被修改.)此选项还会阻止用户查看或编辑信息,但可以更轻松地处理一个用户打开多个选项卡的情况.
>仍然使用不那么秘密的隐藏输入字段,但添加了防篡改机制.因此,在生成页面时,获取所有现有的“受保护”变量,将它们以某种方式与服务器端秘密值组合,并将它们哈希[更正:HMAC].将哈希存储在自己的隐藏字段中.然后在用户提交后,重复该过程并检查哈希是否匹配.如果没有,请将安全违规页面的所有内容都包含在内.
*与所有加密技术一样,这样做“正确”的方式可能很棘手,并且很大程度上取决于您如何加密/验证.在密码和密码模式等方面存在很多陷阱.
最后,请记住,阻止人们修改它并不意味着用户无法复制所有内容并在以后或其他帐户下重复使用,除非您采取措施包含“时间戳”等.
翻译自:https://stackoverflow.com/questions/6312779/prevent-hidden-input-from-being-altered
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Web 2.0界面设计模式
黄玮 / 电子工业出版社 / 2013-9-1 / 59
本书集Web 2.0的发展及特点、Web 2.0界面设计模式基本理论、实际模式实践及代码实现等诸多内容于一身,具有很强的实用性。这些内容不是简单的顺序堆砌,而是以Web 2.0界面设计模式和应用为主线,其中完美地穿插了各种与之相关的Web 2.0设计理念、用户行为模式、用户体验及基于Dojo的实现方式等相关知识,真正做到将Web 2.0界面设计模式所需要的方方面面的知识有机地融为一个整体。实现不需......一起来看看 《Web 2.0界面设计模式》 这本书的介绍吧!