我有一个使用框架的网站。 难道还要从浏览器的人手艺后的数据使用地址栏帧中的一个？ 帧2是静态的，而另一个框架具有通信使用交PHP页面。 它似乎并不可行，但我想是肯定。

不，这是不可能的从地址栏POST数据。 你只能从那里通过添加PARAMS到URL发起GET请求。 POST正文不能安装这种方式。

不管这个，这是非常可能的POST请求发送到Web服务器在一个框架的页面。 HTTP仅仅是协议与您的浏览器和Web服务器互相交谈。 HTTP一无所知帧或HTML。 在框架的页面有一个URI，就像任何其他页面。 当你点击一个链接时，浏览器会询问服务器是否有适合该URI。 服务器将检查是否有东西是URI和相应的反应。 它不知道它会返回虽然。

有了这样的工具TamperData的Firefox或提琴手的IE任何人都可以使用HTTP请求发送鼓捣到您的服务器容易。

中的任何数据$_REQUEST数组应被视为平等武装和危险不论其来源和/或环境。 这包括$_GET ， $_POST和$_COOKIE 。

POST数据不能在地址栏中添加。

您应经常检查和消毒，你在你的PHP代码获得的所有数据，因为任何人都可以发布数据到您的所有网页。

不要从你的页面外的信任数据。 清理和检查。

也许不是从浏览器，但他们仍然可以赶上请求（鼓捣吧），并将其转发到所提供的目的地，像打嗝代理工具。

要回答你的问题 ：不，这是不可能的使用地址栏来发送POST数据。

但它是可以交的数据发送到任何URL在瞬间。 例如使用卷曲，或Firefox扩展。 所以一定要检查和消毒所有的数据您收到不管POST或GET或UPDATE或什么的。

这不是iframe或PHP特有的，所以应该在每一个web应用加以考虑。 永远不要依赖于数据的人是正确的，有效的或安全发送 - 尤其是当用户发送。

是的，他们绝对可以，用类似Firebug的工具，显然更专业的工具，如由Gordon列出的。 此外，即使他们不能做到这一点，从您的网站浏览器，他们总是可以创建自己的形式，或通过脚本或命令行工具提交后的数据。

你绝对不能依赖客户端的安全上。