è possibile manomissione dei dati post quando usando le strutture
https://stackoverflow.com/questions/2015398
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Ho un sito che utilizza i frame. E 'ancora possibile dal browser per qualcuno di imbarcazioni dati post per uno dei frame utilizzando la barra degli indirizzi? 2 dei telai sono statici e l'altro telaio ha pagine php che comunicano tramite posta. E non sembra essere possibile, ma volevo essere sicuro.
Soluzione
No, non è possibile POST i dati dalla barra degli indirizzi. È solo possibile avviare le richieste da lì aggiungendo params all'URL. Il corpo POST non può essere attaccata in questo modo.
Indipendentemente da questo, è molto possibile inviare le richieste POST al server web per le pagine in una cornice. HTTP è solo il protocollo con cui il browser e server web parlano tra loro. HTTP non sa nulla di cornici o HTML. La pagina nel telaio ha un URI, come qualsiasi altra pagina. Quando si fa clic su un collegamento, il browser chiede al server se ha qualcosa per questo URI. Il server controllerà se ha qualcosa per cui URI e rispondere di conseguenza. Non sa cosa si tornerà però.
Con strumenti come TamperData per Firefox o Fiddler per IE chiunque può sperimentare con le richieste HTTP inviare al server facilmente.
Altri suggerimenti
I dati nella matrice $_REQUEST dovrebbero essere considerate anche armato e pericoloso indipendentemente dall'origine e / o l'ambiente. Questo include $_GET, $_POST e $_COOKIE.
dati POST non possono essere aggiunti nella barra degli indirizzi.
Si dovrebbe sempre controllare e disinfettare tutti i dati che si ottiene nel codice PHP, perché chiunque potrebbe inviare dati a tutte le pagine.
Non fidarti dei dati al di fuori della vostra pagina. Pulire e controllare.
Forse non dal browser, ma possono ancora prendere la richiesta (armeggiare con esso) e lo trasmette alla destinazione prevista, con uno strumento come proxy di rutto.
Per rispondere alla tua domanda : No, non è possibile inviare dati post utilizzando l'AddressBar.
MA è possibile inviare dati post a qualsiasi URL in un attimo. Ad esempio, utilizzando cURL, o di un'estensione per Firefox. Quindi, essere sicuri di verificare e disinfettare tutti i dati che riceve, non importa se POST o GET o UPDATE o qualsiasi altra cosa.
Non è iFrame o PHP specifiche, quindi dovrebbe essere considerata in ogni webapplication. Mai e poi mai fare affidamento su dati inviati da chiunque sia corretto, valido o sicuro - soprattutto quando inviare dagli utenti.
Sì, sono assolutamente in grado, con strumenti come Firebug e strumenti apparentemente più specializzati come quelli elencati da Gordon. Inoltre, anche se non hanno potuto farlo nel browser dal tuo sito, potrebbero sempre creare la loro forma, o inviare i dati post attraverso strumenti di script o riga di comando.
Si può assolutamente non si basano sul client per la sicurezza.
