0
我已经在HTML5中构建了一个游戏,并且Web表单向服务器发布了数据。验证客户端的真实性
使用Javascript计算游戏中的分数,表单将数据发布到服务器。
这种体系结构是否容易受到攻击,客户端可以修改,从而发布流氓值而不是计算得分?
我该如何防止这种情况发生?
A
回答
3
为了保持简短 - 您需要完成所有的验证服务器端。有使用客户端脚本来让事情看起来不错,但你不能从客户端相信任何没有问题。
以Stackoverflow为例。当你投票时,它立即被计算在客户端(保持事情的快捷),但一旦提交,它就会被服务器正确验证。
例如,如果我试图给予好评我自己的答案服务器具有以下JSON拒绝它:
{"Success":false,"Warning":false,"NewScore":0,"Message":"You can't vote for your own post.","Refresh":false}
即使JavaScript的愉快提交它。
因此您还需要计算您的游戏得分服务器端。
0
不要信任用户输入,尤其是在您将数据发送到服务器时可能会执行SQL注入的表单。 (也How can I prevent SQL injection in PHP?见)
尝试验证尽可能多的数据可能服务器端。
看到你也可以使用JavaScript的注意JavaScript注入(http://www.testingsecurity.com/how-to-test/injection-vulnerabilities/Javascript-Injection),因为它们可以注入变为乌尔脚本(如分值)
+1
您需要验证所有服务器端(不是尽可能)。 –
+0
尽可能多的imo,但并非每件事都可以验证。在大多数检查某些标准 – Gooey
+0
检查的标准是*验证* **不** *验证*。请参阅[这里差(http://www.matthewedmondson.info/2010/08/difference-between-validation-and.html) –
相关问题
- 1. 客户端验证
- 2. 验证FPFile的真实性
- 3. 客户端验证属性3
- 4. Uploadify的客户端验证?
- 5. Rails的客户端验证
- 6. 验证的RadioButtonGroup客户端
- 7. 客户端验证的OpenERP
- 8. 使用AttributeTargets.Class自定义验证属性的客户端验证
- 9. Silverlight DbContext验证 - 实体属性在客户端被忽略
- 10. 客户端验证MVC 5
- 11. jquery客户端验证asp.net
- 12. 验证PayPal客户端ID
- 13. Reactjs客户端验证
- 14. ASP.NET客户端API验证
- 15. DDD和客户端验证
- 16. 集成客户端验证
- 17. 客户端验证疑惑
- 18. Telerik asp.net客户端验证
- 19. asp.net mvc客户端验证
- 20. 在客户端验证
- 21. Recaptcha客户端验证
- 22. 动态客户端验证
- 23. 客户端验证不MVC
- 24. ASP.NET MVC3客户端验证
- 25. customvalidator客户端验证
- 26. QuickForm2 - 客户端验证
- 27. Silverlight - 客户端验证
- 28. 客户端验证和STI
- 29. Http验证客户端库
- 30. 删除客户端验证
感谢您的答案,但我仍然有一个关于这个疑问。假设修改后的客户端向服务器发布数据如下(它是一种速度打字测试游戏)。如果他执行了POST并发布了完整的分数,并且将输入的文本张贴为正确的段落。我怎样才能防止这一点? – user1016313