我有一个使用框架的网站。 难道还要从浏览器的人手艺后的数据使用地址栏帧中的一个? 帧2是静态的,而另一个框架具有通信使用交PHP页面。 它似乎并不可行,但我想是肯定。
Answer 1:
不,这是不可能的从地址栏POST数据。 你只能从那里通过添加PARAMS到URL发起GET请求。 POST正文不能安装这种方式。
不管这个,这是非常可能的POST请求发送到Web服务器在一个框架的页面。 HTTP仅仅是协议与您的浏览器和Web服务器互相交谈。 HTTP一无所知帧或HTML。 在框架的页面有一个URI,就像任何其他页面。 当你点击一个链接时,浏览器会询问服务器是否有适合该URI。 服务器将检查是否有东西是URI和相应的反应。 它不知道它会返回虽然。
有了这样的工具TamperData的Firefox或提琴手的IE任何人都可以使用HTTP请求发送鼓捣到您的服务器容易。
Answer 2:
中的任何数据$_REQUEST
数组应被视为平等武装和危险不论其来源和/或环境。 这包括$_GET
, $_POST
和$_COOKIE
。
Answer 3:
POST数据不能在地址栏中添加。
您应经常检查和消毒,你在你的PHP代码获得的所有数据,因为任何人都可以发布数据到您的所有网页。
不要从你的页面外的信任数据。 清理和检查。
Answer 4:
也许不是从浏览器,但他们仍然可以赶上请求(鼓捣吧),并将其转发到所提供的目的地,像打嗝代理工具。
Answer 5:
要回答你的问题 :不,这是不可能的使用地址栏来发送POST数据。
但它是可以交的数据发送到任何URL在瞬间。 例如使用卷曲,或Firefox扩展。 所以一定要检查和消毒所有的数据您收到不管POST或GET或UPDATE或什么的。
这不是iframe或PHP特有的,所以应该在每一个web应用加以考虑。 永远不要依赖于数据的人是正确的,有效的或安全发送 - 尤其是当用户发送。
Answer 6:
是的,他们绝对可以,用类似Firebug的工具,显然更专业的工具,如由Gordon列出的。 此外,即使他们不能做到这一点,从您的网站浏览器,他们总是可以创建自己的形式,或通过脚本或命令行工具提交后的数据。
你绝对不能依赖客户端的安全上。