使用框架时是否可以篡改发布数据

Question

我有一个使用框架的网站。有人仍然可以从浏览器中使用地址栏为其中一个框架制作发布数据吗？其中 2 个框架是静态的，另一个框架具有使用 post 进行通信的 php 页面。这似乎不可能，但我想确定一下。

Answer 1

不，这是不可能的 邮政 来自地址栏的数据。您只能发起 得到 通过向 URL 添加参数来从那里发出请求。无法以这种方式附加 POST 正文。

不管怎样，很可能向您的网络服务器发送针对框架中页面的 POST 请求。 HTTP 只是协议 您的浏览器和网络服务器通过它相互通信。HTTP 对框架或 HTML 一无所知。框架中的页面有一个 URI，就像任何其他页面一样。当您单击链接时，浏览器会询问服务器是否有 某物 对于该 URI。服务器将检查它是否有该 URI 的内容并做出相应的响应。它不知道 什么 但它会回来。

使用类似的工具 Firefox 的 TamperData 或者 IE 的 Fiddler 任何人都可以轻松修改发送到您服务器的 HTTP 请求。

Answer 2

的

$_REQUEST阵列中的任何数据应被视为同等武装和危险而不管源和/或环境的。这包括$_GET，$_POST和$_COOKIE。

Answer 3

POST数据不能在地址栏中加入。

您应经常检查和消毒，你在你的PHP代码获得的所有数据，因为任何人都可以发布数据到您的所有网页。

不要从你的页面外的信任数据。清洁并检查它。

Answer 4

也许不是从浏览器，但它们仍然可以赶上请求（摆弄它），并将其转发到提供目的地，与像打嗝代理的工具。

Answer 5

要回答你的问题：不，这是不可能的使用地址栏来发送POST数据。

<强> BUT 有可能交数据发送到任何URL在一个单元。例如使用卷曲，或Firefox扩展。所以一定要检查和消毒所有的数据您收到不管POST或GET或UPDATE或什么的。

这是不的iFrame或特定PHP中，所以它应该在每一个web应用被考虑。永远不要依赖于数据的人是正确的，有效的或安全发送 - 尤其是当用户发送。

Answer 6

是的，他们绝对可以，用类似Firebug的工具，显然更专业的工具，如由Gordon列出的。此外，即使他们不能做到这一点，从您的网站浏览器，他们总是可以创建自己的形式，或通过脚本或命令行工具提交后的数据。

你绝对不能依赖客户端的安全上。