프레임을 사용할 때 게시물 데이터를 변조 할 수 있습니까?

Question

프레임을 사용하는 사이트가 있습니다. 누군가가 주소 표시 줄을 사용하여 프레임 중 하나에 대한 게시물 데이터를 제작할 수있는 브라우저에서 여전히 가능합니까? 프레임 중 2 개는 정적이며 다른 프레임에는 POST를 사용하여 통신하는 PHP 페이지가 있습니다. 그리고 그것은 가능하지는 않지만 확실하고 싶었습니다.

Answer 1

아니요, 불가능합니다 게시하다 주소 표시 줄에서 데이터. 당신은 만 시작할 수 있습니다 가져 오기 URL에 매개 변수를 추가하여 요청합니다. 포스트 본체는 이런 식으로 부착 할 수 없습니다.

이에 관계없이 프레임의 페이지에 대한 게시물 요청을 웹 서버에 보내는 것이 매우 가능합니다. HTTP는 프로토콜 일뿐입니다 브라우저와 웹 서버가 서로 대화하는 것과 함께. HTTP는 프레임 또는 HTML에 대해 아무것도 모릅니다. 프레임의 페이지에는 다른 페이지와 마찬가지로 URI가 있습니다. 링크를 클릭하면 브라우저가 서버에 무엇 그 우리를 위해. 서버는 해당 URI에 대한 것이 있는지 확인하고 그에 따라 응답합니다. 모릅니다 무엇 그래도 돌아올 것입니다.

같은 도구와 함께 Firefox 용 탬퍼 데이터 또는 IE를위한 피들러 누구나 HTTP 요청을 서버로 쉽게 전송할 수 있습니다.

Answer 2

모든 데이터 $_REQUEST 어레이는 소스 및/또는 환경에 관계없이 똑같이 무장하고 위험한 것으로 간주되어야합니다. 여기에는 포함됩니다 $_GET, $_POST, 그리고 $_COOKIE.

Answer 3

주소 표시 줄에 게시물 데이터를 추가 할 수 없습니다.

누구나 모든 페이지에 데이터를 게시 할 수 있으므로 PHP 코드에있는 모든 데이터를 항상 확인하고 소독해야합니다.

페이지 외부에서 데이터를 신뢰하지 마십시오. 그것을 청소하고 확인하십시오.

Answer 4

어쩌면 브라우저에서는 아니지만 여전히 요청을 포착하고 (Tinker와 함께) Burp Proxy와 같은 도구로 제공되는 대상으로 전달할 수 있습니다.

Answer 5

귀하의 질문에 답변합니다: 아니요, 주소 바를 사용하여 우편 데이터를 보낼 수 없습니다.

하지만 포스트 데이터를 SNAP로 모든 URL로 보낼 수 있습니다. 예를 들어 컬 또는 Firefox 확장을 사용합니다. 따라서 게시되거나 업데이트되거나 업데이트 되든 상관없이받은 모든 데이터를 확인하고 살균해야합니다.

이것은 iframe 또는 PHP 특정이 아니므로 모든 웹 응용 프로그램에서 고려해야합니다. 특히 사용자가 보낼 때 정확, 유효 또는 안전한 사람이 누구나 보내는 데이터에 의존하지 마십시오.

Answer 6

그렇습니다. FireBug와 같은 도구와 Gordon이 나열한 것과 같은보다 전문화 된 도구를 통해 절대적으로 할 수 있습니다. 또한 사이트의 브라우저에서 수행 할 수 없더라도 항상 자체 양식을 작성하거나 스크립팅 또는 명령 선을 통해 게시물 데이터를 제출할 수 있습니다.

보안을 위해 고객에게 의존 할 수는 없습니다.