フレームを使用するときにデータを改ざんすることは可能ですか

Question

フレームを使用しているサイトがあります。ブラウザから、アドレスバーを使用してフレームの1つのデータを作成することはまだ可能ですか？ 2つのフレームは静的で、もう1つのフレームにはpostを使用して通信するPHPページがあります。そして、それは可能ではないようですが、私は確信したかったのです。

Answer 1

いいえ、できません 役職 アドレスバーからのデータ。開始することしかできません 得る URLにパラマを追加して、そこからリクエストします。ポストボディをこのように取り付けることはできません。

これに関係なく、フレーム内のページのWebサーバーに投稿リクエストを送信することは非常に可能です。 HTTPは単なるプロトコルです ブラウザとウェブサーバーがお互いに話し合う。 HTTPは、フレームやHTMLについて何も知りません。フレーム内のページには、他のページと同様にURIがあります。リンクをクリックすると、ブラウザがサーバーが持っているかどうかを尋ねます なにか そのuriのために。サーバーは、そのURIに何かがあるかどうかを確認し、それに応じて応答します。それは知りません 何 しかし、それは返されます。

のようなツール付き FirefoxのTamperdata また IEのフィドラー 誰でもHTTPリクエストをサーバーに簡単に送信できます。

Answer 2

のデータ $_REQUEST アレイは、ソースや環境に関係なく、等しく武装し、危険であると見なす必要があります。これも $_GET, $_POST, 、 と $_COOKIE.

Answer 3

POST data can not be added in the address bar.

You should always check & sanitize all data you get in your PHP code, because anyone could post data to all of your pages.

Don't trust data from outside of your page. Clean it & check it.

Answer 4

Maybe not from the browser, but they can still catch the request (tinker with it) and forward it to the provided destination, with a tool like burp proxy.

Answer 5

To answer your question: No, it is not possible to send post data using the addressbar.

BUT it is possible to send post data to any url in a snap. For example using cURL, or a Firefox extension. So be sure to verify and sanitize all the data you receive no matter if POST or GET or UPDATE or whatever.

This is not iFrame or php specific, so it should be considered in every webapplication. Never ever rely on data send by anyone being correct, valid or secure - especially when send by users.

Answer 6

Yes, they absolutely can, with tools like Firebug, and apparently more specialized tools like the ones listed by Gordon. Additionally, even if they couldn't do it in the browser from your site, they could always create their own form, or submit the post data through scripting or commandline tools.

You absolutely cannot rely on the client for security.