Можно ли вмешиваться в публикацию данных при использовании кадров
Вопрос
У меня есть сайт, который использует кадры. Неужели возможно ли из браузера, чтобы кто -то мог создать данные публикации для одной из кадров с использованием адресной панели? 2 рамки статичны, а на другой кадре есть PHP -страницы, которые общаются с использованием POST. И это невозможно, но я хотел быть уверенным.
Решение
Нет, невозможно ПОЧТА Данные из адресной строки. Вы можете только инициировать ПОЛУЧИТЬ Запросы оттуда, добавив параметры в URL. Тело после не может быть прикреплено таким образом.
Независимо от этого, вполне возможно отправить запросы на почту в ваш WebServer на страницы в кадре. HTTP - это просто протокол с которым ваш браузер и WebServer разговаривают друг с другом. HTTP ничего не знает о кадрах или HTML. На странице в кадре есть URI, как и любая другая страница. Когда вы нажимаете по ссылке, ваш браузер спрашивает сервер, если он имеет что-нибудь для этого URI. Сервер проверит, есть ли у него что -то для этого URI, и ответить соответственно. Это не знает какие Это вернется, хотя.
С такими инструментами Tamperdata для Firefox или же Fiddler для IE Любой может разобраться с HTTP -запросами легко отправлять на ваш сервер.
Другие советы
Любые данные в $_REQUEST
Массив следует считать одинаково вооруженным и опасным независимо от источника и/или окружающей среды. Это включает $_GET
, $_POST
, а также $_COOKIE
.
Размещение данных не может быть добавлено в адресной строке.
Вы всегда должны проверять и дезинфицировать все данные, которые получаете в своем коде PHP, потому что любой может публиковать данные на все ваши страницы.
Не доверяйте данным вне вашей страницы. Очистите и проверьте.
Может быть, не из браузера, но они все еще могут поймать запрос (возиться с ним) и перенаправить его в предоставленный пункт назначения, с таким инструментом, как прокси Burp.
Чтобы ответить на ваш вопрос: Нет, невозможно отправить данные о публикации с помощью Blase.
НО Можно отправить данные о любом URL -адресу в любом URL -адресе. Например, используя Curl или расширение Firefox. Поэтому обязательно проверяйте и продезинны все данные, которые вы получаете, независимо от того, если публиковать или получить или обновить или что -то в этом роде.
Это не является IFRAME или PHP -спецификом, поэтому это следует учитывать в каждом веб -приложении. Никогда никогда не полагайтесь на данные, отправляемая тем, кто был правильным, действительным или безопасным - особенно при отправке пользователями.
Да, они абсолютно могут, с такими инструментами, как Firebug и, по -видимому, более специализированные инструменты, такие как те, которые перечислены Гордоном. Кроме того, даже если они не смогут сделать это в браузере с вашего сайта, они всегда могут создать свою собственную форму или отправить данные по сообщениям с помощью сценариев или инструментов командной линии.
Вы абсолютно не можете полагаться на клиента для безопасности.