-1
我在JSP页面中实现了字段库安全性。技术用户打破JSP页面的安全性
如果该字段只读给用户,我把属性readonly =“true”;
但是,有些用户是技术性的,他们知道Firefox或相关工具中的firebug,使用这些工具,他们从dom中删除只读属性并更改字段的值。
我该如何控制它?或任何其他机制?
A
回答
4
对于用户修改您提供的文档,您无法做任何事情。您发送给客户的任何内容都在他们的控制之下,并且不受您的控制。
但只有一些技巧,你可以做,以避免或检测这些参数篡改:
- 避免:您对现有的客户端的参数少,越少的参数可以被篡改。如果您不想要更改某个参数(可能是任何隐藏的表单域),请不要将其发送给客户端,而是将其保留在服务器端。您可以将这些参数存储在客户端会话中的某种容器中,并将其与当前表单关联。然后发送给客户端的唯一信息是引用服务器端存储参数的容器的随机标识符。
- 检测:您可以使用加密散列函数,如MAC来验证客户端返回的数据与发送给它的数据是否相同。但请注意,这仍然允许replay attacks。
相关问题
- 1. 多页面技术
- 2. 安全两个JSP页面
- 3. 通用网址技术安全
- 4. ASP.NET会话访问技术是多用户安全的吗?
- 5. 需要:灵活而安全的用户HTML嵌入技术
- 6. 用炼金术打破全球?
- 7. HTTP压缩 - 哪种技术最适合安全性和性能?
- 8. jsp页面中弹簧安全“param.error”?
- 9. dotnet技术中的类库和安全性
- 10. 类库安全和许可技术
- 11. 线程安全区域设置技术
- 12. 登录页面安全性?
- 13. 将安全性添加到jsp登录页面
- 14. Delphi打印技术
- 15. 安全的登录页面(使用的Servlet/JSP)
- 16. JSP页面使用的类有多安全?
- 17. 使用新技术时的安全隐患
- 18. 其他JSP页面在相同的jsp页面中打开
- 19. 脚本Src打破页面
- 20. 技术来破坏代码流?
- 21. 安全xmlhttprequest从不安全的页面
- 22. 哪一种安全技术用于Apache和PHP?
- 23. 抽象安全的.jsp页面的功能?
- 24. 如何运行非技术性启动的技术部门?
- 25. 使用Google App Engine的分页技术
- 26. 用于网页开发的Java技术
- 27. JSP和ASP.Net的安全性比较
- 28. 没有jsp的Spring安全性
- 29. 了解文件的页面在技术层面
- 30. Linux。允许从WEB页面使用扫描器的技术?
服务器端验证? – 2013-02-24 08:00:18
你可以把一些JSP的代码?正如@ g.d.d.c所说 - 服务器端验证将是最好的。这个概念被称为权利 - 经过这个[页面]的权利部分(http://docs.oracle.com/cd/E12890_01/ales/docs32/secintro/entitlements.html) – user1428716 2013-02-24 08:15:12
@gddc客户端端 – 2013-02-24 09:26:17