Html 如果没有表单,恶意用户是否可以提交数据?
在我的网站上,用户每天只能修改一次个人信息。在脚本方面,我确定是否允许他们(即,检查自上次修改以来是否已经24小时)以及是否显示表单 我的问题是,如果没有表单,恶意用户能否提交信息?也就是说,如果没有数据应该由用户的浏览器提交,对吗Html 如果没有表单,恶意用户是否可以提交数据?,html,forms,Html,Forms,在我的网站上,用户每天只能修改一次个人信息。在脚本方面,我确定是否允许他们(即,检查自上次修改以来是否已经24小时)以及是否显示表单 我的问题是,如果没有表单,恶意用户能否提交信息?也就是说,如果没有数据应该由用户的浏览器提交,对吗 我担心的是,如果有人设法发送数据,脚本仍然会处理数据,并在不应该的时候更改个人信息,当然,这将是一种重播攻击。只要您的资源端点将处理恶意POST请求,而不考虑前面GET的内容,那么您就容易受到攻击 记住:永远不要信任客户。如果您在处理POST请求之前进行身份验证和授
我担心的是,如果有人设法发送数据,脚本仍然会处理数据,并在不应该的时候更改个人信息,当然,这将是一种重播攻击。只要您的资源端点将处理恶意POST请求,而不考虑前面GET的内容,那么您就容易受到攻击
记住:永远不要信任客户。如果您在处理POST请求之前进行身份验证和授权检查,那么您就没事了。当然,这将是一种重播攻击。只要您的资源端点将处理恶意POST请求,而不考虑前面GET的内容,那么您就容易受到攻击
记住:永远不要信任客户。如果您在处理POST请求之前进行身份验证和授权检查,那么您就没事了。是的,即使没有表单,恶意用户仍然可以发送数据,前提是他知道接受数据的页面的url及其预期的相应属性。然后,他就可以轻松地用这些信息创建一个表单并提交数据
因此,您基本上需要在服务器端验证数据。是的,即使没有表单,恶意用户仍然可以发送数据,前提是他知道接受数据的页面的url及其预期的相应属性。然后,他就可以轻松地用这些信息创建一个表单并提交数据 因此,您基本上需要在服务器端验证数据。是 例如,有人可以使用curl
curl -d profile=value http://www.yoursite.com/profile
您可以使用随表单一起发送的CSRF令牌来防止此类攻击。
有关更多背景信息,请参阅本文。是
例如,有人可以使用curl
curl -d profile=value http://www.yoursite.com/profile
您可以使用随表单一起发送的CSRF令牌来防止此类攻击。
有关更多背景信息,请参阅本文。我可以创建一个表单并将其提交到我想要的任何页面。。即使是没有恶意的虚拟用户也可以通过查看页面的缓存副本来实现同样的目的。什么是“脚本端”?你是指客户端还是服务器端?我可以创建一个表单并将其提交到我想要的任何页面。。即使是没有恶意的虚拟用户也可以通过查看页面的缓存副本来实现同样的目的。什么是“脚本端”?你是指客户端还是服务器端?