是有可能使用框架时篡改后的数据(is it possible to tamper post data

2019-10-28 12:25发布

我有一个使用框架的网站。 难道还要从浏览器的人手艺后的数据使用地址栏帧中的一个? 帧2是静态的,而另一个框架具有通信使用交PHP页面。 它似乎并不可行,但我想是肯定。

Answer 1:

不,这是不可能的从地址栏POST数据。 你只能从那里通过添加PARAMS到URL发起GET请求。 POST正文不能安装这种方式。

不管这个,这是非常可能的POST请求发送到Web服务器在一个框架的页面。 HTTP仅仅是协议与您的浏览器和Web服务器互相交谈。 HTTP一无所知帧或HTML。 在框架的页面有一个URI,就像任何其他页面。 当你点击一个链接时,浏览器会询问服务器是否适合该URI。 服务器将检查是否有东西是URI和相应的反应。 它不知道它会返回虽然。

有了这样的工具TamperData的Firefox或提琴手的IE任何人都可以使用HTTP请求发送鼓捣到您的服务器容易。



Answer 2:

中的任何数据$_REQUEST数组应被视为平等武装和危险不论其来源和/或环境。 这包括$_GET$_POST$_COOKIE



Answer 3:

POST数据不能在地址栏中添加。

您应经常检查和消毒,你在你的PHP代码获得的所有数据,因为任何人都可以发布数据到您的所有网页。

不要从你的页面外的信任数据。 清理和检查。



Answer 4:

也许不是从浏览器,但他们仍然可以赶上请求(鼓捣吧),并将其转发到所提供的目的地,像打嗝代理工具。



Answer 5:

要回答你的问题 :不,这是不可能的使用地址栏来发送POST数据。

它是可以交的数据发送到任何URL在瞬间。 例如使用卷曲,或Firefox扩展。 所以一定要检查和消毒所有的数据您收到不管POST或GET或UPDATE或什么的。

这不是iframe或PHP特有的,所以应该在每一个web应用加以考虑。 永远不要依赖于数据的人是正确的,有效的或安全发送 - 尤其是当用户发送。



Answer 6:

是的,他们绝对可以,用类似Firebug的工具,显然更专业的工具,如由Gordon列出的。 此外,即使他们不能做到这一点,从您的网站浏览器,他们总是可以创建自己的形式,或通过脚本或命令行工具提交后的数据。

你绝对不能依赖客户端的安全上。



文章来源: is it possible to tamper post data when using frames