Javascript 使用div的值传递数据(安全性)
通过ajax将div的数据(文本)发送到服务器安全吗?或者获取Javascript 使用div的值传递数据(安全性),javascript,jquery,ajax,security,developer-tools,Javascript,Jquery,Ajax,Security,Developer Tools,通过ajax将div的数据(文本)发送到服务器安全吗?或者获取标记的url并使用它 前 如果我在开发工具中编辑div中的文本和按钮的数据url,然后单击后面的按钮,会怎么样?在我看来,我不是安全专家,但这就是我处理问题的方式,您应该始终在服务器端验证和清理用户输入。如果用户可以提交数据,他们可以篡改数据,因此在您清理数据并确保其在服务器上安全之前,数据是不安全的 我不知道您在服务器端使用的是什么,但现在大多数框架都采用了在将用户输入提交到(比如)数据库之前清理用户输入的方式。我会查阅服务器端语言
如果我在开发工具中编辑div中的文本和按钮的数据url,然后单击后面的按钮,会怎么样?在我看来,我不是安全专家,但这就是我处理问题的方式,您应该始终在服务器端验证和清理用户输入。如果用户可以提交数据,他们可以篡改数据,因此在您清理数据并确保其在服务器上安全之前,数据是不安全的 我不知道您在服务器端使用的是什么,但现在大多数框架都采用了在将用户输入提交到(比如)数据库之前清理用户输入的方式。我会查阅服务器端语言/框架的文档,以找到安全处理传入用户输入的最佳方法。这样做是安全的。 在使用Javascript和AJAX时,您会遇到一个固有的问题:它总是可以修改的。最小化问题的最佳方法是确保客户端上没有安全操作,而是让Javascript进行显示和提交 在这种情况下,您可以保持原样。只要您在服务器端清理用户输入,那么您就尽了最大努力(除了模糊处理,这在Javascript中很少是个好主意) 通过ajax将div的数据(文本)发送到服务器安全吗?或者获取标签的url并使用它 对 但是,请注意,由于它来自浏览器,因此它是用户输入,应按此处理。您不能假设您提供给浏览器的数据预期将被发送回服务器,而不会被篡改 不要将这些用于授权之类的事情。您不能相信浏览器会告诉您该用户是否是管理员。您需要进行适当的身份验证,然后在服务器上对用户进行授权
如果没有合适的逃生工具,不要使用它。e、 g.在不使用绑定参数的情况下,不要将其粘贴到SQL中。如果不将特殊字符转换为实体(或者使用带有白名单过滤器的HTML解析器清除XSS风险),就不要将其粘贴在HTML中 你正在使用的URL是绝对好的。只要您的URL没有显示有关目录结构的重要信息(您的URL没有),那么就没有问题。然后,数据URL可以在开发工具中更改,这意味着数据将被发送到另一个URL?会的,但您也可以使用开发工具编辑原始Javascript。URL所在的位置没有明显区别。您只从
get value数据urlget value <div id="get-value">Some Value</div>
<button id="send" data-url="process.php"></button>
$('#send').click(function() {
$.ajax({
url: this.dataset.url,
dataType: 'json',
type: 'post',
data: {
value: $('#get-value').text(),
}
});
});