est-il possible de falsifier publier des données lors de l'utilisation de cadres
https://stackoverflow.com/questions/2015398
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'ai un site qui est à l'aide de cadres.Est-il encore possible à partir du navigateur pour que quelqu'un de l'artisanat de données de postes pour l'un des cadres à l'aide de la barre d'adresse?2 les images sont statiques et l'autre cadre a des pages php qui communiquent à l'aide de post.Et il ne semble pas être possible, mais je voulais être sûr.
La solution
Non, il n'est pas possible de POST les données de la barre d'adresse.Vous ne pouvez lancer OBTENEZ de l' les demandes de là, en ajoutant des paramètres à l'URL.Le Corps POST ne peut pas être fixé de cette façon.
Indépendamment de cela, il est très possible d'envoyer des requêtes POST sur votre serveur web pour les pages dans un cadre. HTTP est juste le protocole avec votre navigateur et serveur web de parler les uns aux autres.HTTP sait rien à propos des cadres ou HTML.La page dans le cadre d'un URI, tout comme n'importe quelle autre page.Lorsque vous cliquez sur un lien, votre navigateur demande au serveur si il a quelque chose pour cet URI.Le serveur va vérifier si il a quelque chose pour que l'URI et de réagir en conséquence.Il ne sait pas ce il sera de retour bien.
Avec des outils comme TamperData pour Firefox ou Fiddler pour IE n'importe qui peut bricoler avec des Requêtes HTTP à envoyer à votre serveur facilement.
Autres conseils
Les données du tableau de $_REQUEST il doit être considéré comme armé et dangereux quelle que soit la source et / ou de l'environnement. Cela comprend $_GET, $_POST et $_COOKIE.
données POST ne peuvent pas être ajoutés dans la barre d'adresse.
Vous devriez toujours vérifier et désinfecter toutes les données que vous obtenez dans votre code PHP, car tout le monde peut publier des données sur toutes vos pages.
Ne pas faire confiance à des données à l'extérieur de votre page. Nettoyer et vérifier.
Peut-être pas à partir du navigateur, mais ils peuvent encore attraper la demande (bricoler) et le transmettre à la destination prévue, avec un outil comme proxy burp.
Pour répondre à votre question : Non, il est impossible d'envoyer des données de poste en utilisant le barre d'adresses.
et il est possible d'envoyer des données à un poste URL dans un clin d'oeil. Par exemple en utilisant cURL, ou une extension Firefox. Assurez-vous donc de vérifier et désinfectez toutes les données que vous recevez, peu importe si POST ou GET ou UPDATE ou autre chose.
Ce n'est pas iFrame ou php spécifique, il devrait donc être pris en compte dans tous les webapplication. Ne jamais se fier aux données envoyées par toute personne étant correcte, valide ou sécurisé - surtout quand envoyer par les utilisateurs.
Oui, ils peuvent tout à fait, avec des outils comme Firebug et des outils apparemment plus spécialisés comme ceux énumérés par Gordon. De plus, même si elles ne pouvaient pas le faire dans le navigateur de votre site, ils peuvent toujours créer leur propre forme, ou soumettre les données post grâce à des outils de script ou de commande.
Vous ne pouvez absolument pas compter sur le client pour la sécurité.
