É possível adulterar os dados do post ao usar quadros
https://stackoverflow.com/questions/2015398
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu tenho um site que está usando quadros. Ainda é possível do navegador alguém criar dados de postagem para um dos quadros usando a barra de endereço? 2 dos quadros são estáticos e o outro quadro possui páginas de PHP que se comunicam usando o post. E isso não parece ser possível, mas eu queria ter certeza.
Solução
Não, não é possível PUBLICAR dados da barra de endereços. Você só pode iniciar PEGUE solicitações a partir daí adicionando params ao URL. O corpo da postagem não pode ser anexado dessa maneira.
Independentemente disso, é muito possível enviar solicitações de postagem ao seu servidor da web para as páginas em um quadro. HTTP é apenas o protocolo Com o qual seu navegador e servidor da web conversam entre si. O HTTP não sabe nada sobre quadros ou html. A página do quadro possui um URI, como qualquer outra página. Quando você clica em um link, seu navegador pergunta ao servidor se ele tem algo Para aquele URI. O servidor verificará se tem algo para esse URI e responderá de acordo. Não sabe o que Vai retornar embora.
Com ferramentas como Tamperdata para Firefox ou Fiddler para IE Qualquer pessoa pode mexer com solicitações HTTP enviar para seu servidor facilmente.
Outras dicas
Quaisquer dados no $_REQUEST A matriz deve ser considerada igualmente armada e perigosa, independentemente da fonte e/ou ambiente. Isso inclui $_GET, $_POST, e $_COOKIE.
Os dados de postagem não podem ser adicionados na barra de endereços.
Você sempre deve verificar e higienizar todos os dados que obtém no seu código PHP, porque qualquer um pode postar dados em todas as suas páginas.
Não confie em dados de fora da sua página. Limpe e verifique.
Talvez não do navegador, mas eles ainda podem pegar a solicitação (mexer com ele) e encaminhá -lo para o destino fornecido, com uma ferramenta como o proxy do Burp.
Para responder sua pergunta: Não, não é possível enviar dados de postagem usando a barra de endereço.
MAS É possível enviar dados de postagem para qualquer URL em um snap. Por exemplo, usando o CURL, ou uma extensão do Firefox. Portanto, verifique e higienize todos os dados que você recebe, não importa se postar ou obter ou atualizar ou qualquer outra coisa.
Isso não é específico para iframe ou php; portanto, deve ser considerado em todas as aplicações da web. Nunca confie nos dados enviados por qualquer pessoa correta, válida ou segura - especialmente quando enviada pelos usuários.
Sim, eles podem absolutamente, com ferramentas como Firebug e ferramentas aparentemente mais especializadas, como as listadas por Gordon. Além disso, mesmo que eles não pudessem fazê -lo no navegador do seu site, eles sempre podem criar seu próprio formulário ou enviar os dados postais através de ferramentas de script ou linha de comando.
Você absolutamente não pode confiar no cliente para obter segurança.
