هل من الممكن العبث بعد البيانات عند استخدام الإطارات
https://stackoverflow.com/questions/2015398
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لدي موقع يستخدم الإطارات. هل ما زال من الممكن من المتصفح لشخص ما لحرفة بيانات نشر واحدة من الإطارات باستخدام شريط العناوين؟ 2 من الإطارات ثابتة والإطار الآخر لديه صفحات PHP التي تتواصل باستخدام المشاركة. ولا يبدو أنه ممكن لكنني أردت أن أكون متأكدا.
المحلول
لا، هذا غير ممكن بريد البيانات من شريط العنوان. يمكنك البدء فقط احصل على طلبات من هناك عن طريق إضافة معارقة إلى عنوان URL. لا يمكن إرفاق جسم البريد بهذه الطريقة.
بغض النظر عن ذلك، من الممكن للغاية إرسال طلبات النشر إلى خادم الويب الخاص بك للحصول على الصفحات في إطار. HTTP هو مجرد البروتوكول مع وجود متصفحك وحديثة خادم الويب مع بعضها البعض. HTTP يعرف شيئا عن الإطارات أو HTML. تحتوي الصفحة في الإطار على URI، تماما مثل أي صفحة أخرى. عند النقر فوق رابط، يسأل متصفحك أن يسأل الخادم إذا كان لديه شيئا ما لذلك أوري. سيقوم الخادم بالتحقق مما إذا كان لديه شيء لهذا URI والرد وفقا لذلك. لا يعرف ماذا او ما سوف يعود رغم ذلك.
مع أدوات مثل tamperdata for firefox. أو fiddler ل IE. يمكن لأي شخص أن العبث مع طلبات HTTP أرسل إلى الخادم الخاص بك بسهولة.
نصائح أخرى
أي بيانات في $_REQUEST يجب اعتبار الصفيف مسلحا بنفس القدر وخطرا بغض النظر عن المصدر و / أو البيئة. هذا يشمل $_GET, $_POST, ، و $_COOKIE.
لا يمكن إضافة بيانات البريد في شريط العناوين.
يجب عليك دائما التحقق وتنسيع جميع البيانات التي تحصل عليها في رمز PHP الخاص بك، لأن أي شخص يمكن أن ينشر البيانات إلى جميع صفحاتك.
لا تثق في البيانات من خارج صفحتك. تنظيفها والتحقق من ذلك.
ربما ليس من المتصفح، ولكن لا يزال بإمكانهم قبض على الطلب (العبث به) وإعادة توجيهه إلى الوجهة المتوفرة، مع أداة مثل بروكسي تجشؤ.
للإجابة على سؤالك: لا، لا يمكن إرسال بيانات النشر باستخدام BalleraBar.
لكن من الممكن إرسال بيانات النشر إلى أي عنوان URL في المفاجئة. على سبيل المثال باستخدام حليقة، أو ملحق فايرفوكس. لذا تأكد من التحقق وتعقيم جميع البيانات التي تتلقاها بغض النظر عما إذا كانت المشاركة أو الحصول عليها أو تحديثها أو أي شيء.
هذا ليس iFrame أو PHP محددة، لذلك يجب النظر في كل WebApplication. لا تعتمد أبدا على البيانات التي ترسلها أي شخص صحيح أو صالح أو آمن - خاصة عند إرسال المستخدمين.
نعم، يمكنهم بالتأكيد، مع أدوات مثل Firebug، وعلى ما يبدو المزيد من الأدوات المتخصصة مثل تلك المدرجة بواسطة Gordon. بالإضافة إلى ذلك، حتى لو لم يتمكنوا من القيام بذلك في المتصفح من موقعك، فيمكنهم دائما إنشاء نموذج خاص بهم، أو إرسال بيانات النشر من خلال أدوات البرمجة النصية أو الأوامر.
أنت لا تستطيع الاعتماد على العميل للأمان.
