0
我有一个JavaScript,其中我使用$ .post()命令将变量发布到一个php文件,我有php文件的URL在相同的.js文件中硬编码。
我只想知道是否有人可以从地址栏注入$ .post()命令并将无效数据发送到PHP文件?
如果是,如何防止或如何检测这些无效数据?
A
回答
5
是的,任何知道如何使用JavaScript编码的人都可以向您的PHP文件发送AJAX POST请求。
至于如何检测无效数据,那完全取决于什么使得数据无效。您只需根据希望有效数据满足的任何条件检查POST值,然后忽略任何不符合这些条件的请求。
1
是的,它非常简单。攻击者可以修改,添加或删除浏览器中运行的任何JavaScript,修改DOM等。Firebug等工具允许任何人从控制台调用任意JavaScript。此外,可以简单地使用curl来运行您的服务器并发送任意数据。
如果是,如何防止或如何检测这些无效数据?
您必须确保服务器端的数据有效性和完整性。此外,您可能希望在服务器端添加一些安全性,并且不依赖某些JavaScript功能被“隐藏”。
1
当然,用你想一个网站javascript:方案,你可以做很多事情前面加上脚本:
javascript:$.post(/* stuff here */)
你应该总是验证在服务器端的输入数据,因为这不仅可能有人使用您的网站上的JavaScript来做到这一点,但他们可能会使用其他工具,如curl或其他任何可以让您发起http请求的工具。
相关问题
- 1. 是否可以使用动画从页面移动地址栏?
- 2. 是否可以确定是否“www。”是纯粹从PHP输入地址栏中的URL的一部分?
- 3. 是否可以隐藏地址栏中的密码字段?
- 4. 是否可以使用插件更改浏览器地址栏行为?
- 5. 是否可以使用Chrome扩展在地址栏中设置多个图标?
- 6. 是否可以只使用POST请求?
- 7. 是否可以获取GDT的地址?
- 8. 是否可以使用谷歌地图从坐标获取地址?
- 9. 是否可以使用Mapbox API设置地理围栏
- 10. 是否可以使用jpa1 @notnull注释?
- 11. 是否可以使用输入流读取http post值?
- 12. 是否可以在电子邮件地址中使用double @?
- 13. PHP:是否可以使用php来获取MAC地址?
- 14. 是否可以使用c#设置mailitem中的回复地址?#
- 15. 是否可以在GPRS连接上使用私有IP地址
- 16. 如何查找IP地址是否可以使用perl?
- 17. 是否可以使用Maskeditextender进行IP地址?
- 18. 是否可以使用PHP将域名解析为IP地址?
- 19. 是否可以使用QAbstractSocket检索IPv6地址?
- 20. 展望VSTO是否可以使用地址簿控件?
- 21. 是否可以向Roboguice注入尺寸?
- 22. 是否可以将HTML注入$ scope?
- 23. 是否可以映射零页或将地址零写入?
- 24. 是否有可能使键盘不可见,而Chrome的地址栏不可见?
- 25. 是否可以使用POST直接从URL上传到S3?
- 26. const引用的地址是否可以与引用对象的地址不同?
- 27. 是否可以使用dbghelp.dll从给定地址获取汇编代码?
- 28. 是否可以从HTTP请求中获取IP地址
- 29. 是否可以从地址找到位置?
- 30. 是否可以使用存储过程执行sql注入?
从地址栏中注入'.post()'并不清楚你的意思。但是,有人可以随时篡改HTTP。您的代码应该以防篡改安全的方式编写。 – Candide