Ist es möglich, Postdaten bei der Verwendung von Frames zu manipulieren
https://stackoverflow.com/questions/2015398
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich habe eine Site, die Frames verwendet. Ist es vom Browser noch möglich, dass jemand Postdaten für einen der Frames mithilfe der Adressleiste herstellt? 2 der Frames sind statisch und der andere Rahmen verfügt über PHP -Seiten, die mit Post kommunizieren. Und es scheint nicht möglich zu sein, aber ich wollte sicher sein.
Lösung
Nein, es ist nicht möglich POST Daten aus der Adressleiste. Sie können nur einleiten ERHALTEN Anfragen von dort durch Hinzufügen von Params zur URL. Der Postkörper kann auf diese Weise nicht angebracht werden.
Unabhängig davon ist es sehr möglich, Postanfragen an Ihren Webserver für die Seiten in einem Frame zu senden. HTTP ist nur das Protokoll mit denen Ihr Browser und Ihr Webserver miteinander sprechen. HTTP weiß nichts über Frames oder HTML. Die Seite im Rahmen enthält eine URI, genau wie jede andere Seite. Wenn Sie auf einen Link klicken, fragt Ihr Browser den Server, ob er hat etwas für diesen Uri. Der Server prüft, ob er etwas für diesen URI enthält und reagiert entsprechend. Es weiß nicht was Es wird jedoch zurückkehren.
Mit Tools wie Tamperdata für Firefox oder Geiger für dh Jeder kann einfach an HTTP -Anfragen basteln, die einfach an Ihren Server senden.
Andere Tipps
Alle Daten in der $_REQUEST Array sollte unabhängig von der Quelle und/oder der Umgebung als gleich bewaffnet und gefährlich angesehen werden. Das beinhaltet $_GET, $_POST, und $_COOKIE.
Postdaten können in der Adressleiste nicht hinzugefügt werden.
Sie sollten alle Daten, die Sie in Ihrem PHP -Code erhalten, immer überprüfen und sanieren, da jeder Daten auf alle Ihre Seiten veröffentlichen kann.
Vertrauen Sie Daten nicht von außerhalb Ihrer Seite. Reinigen Sie es und überprüfen Sie es.
Vielleicht nicht aus dem Browser, aber sie können die Anfrage (Bastler damit) ergreifen und sie an das bereitgestellte Ziel weiterleiten, mit einem Tool wie Burp -Proxy.
Zur Beantwortung Ihrer Frage: Nein, es ist nicht möglich, Postdaten mit der Adressleiste zu senden.
ABER Es ist möglich, Postdaten in einem Snap an eine beliebige URL zu senden. Zum Beispiel mit Curl oder einer Firefox -Erweiterung. Stellen Sie also sicher, dass Sie alle Daten, die Sie erhalten, unabhängig davon überprüfen und abhören, ob sie veröffentlichen oder erhalten oder aktualisieren oder was auch immer.
Dies ist nicht iFrame oder PHP -spezifisch, daher sollte es in jeder Webanapplication berücksichtigt werden. Verlassen Sie sich niemals auf Daten, die von jemandem gesendet werden, der korrekt, gültig oder sicher ist - insbesondere bei Senden von Benutzern.
Ja, sie können mit Werkzeugen wie Firebug und anscheinend spezialisiertere Werkzeuge wie die von Gordon aufgeführten Tools absolut. Selbst wenn sie dies nicht im Browser von Ihrer Website tun konnten, können sie immer ein eigenes Formular erstellen oder die Postdaten über Skript- oder Befehlszeilen -Tools einreichen.
Sie können sich für Sicherheit auf den Kunden nicht verlassen.
