Cas*_*tat 5 security google-chrome-devtools inspect-element
我知道这是一个广泛的问题,但我认为我在这里遗漏了一些东西。攻击者是否可以通过简单地使用检查元素并编辑 javascript 和 html 来对站点造成损坏?例如,对于某人来说,更改输入的最大长度并上传太多数据可能会导致服务器崩溃,这似乎太容易了,我知道在服务器上检查数据总是很好的做法,但它仍然看起来太容易了。或者另一个更具潜在危险的示例是,如果攻击者可以扰乱呼叫$.ajax并向服务器发送不良信息。这是我应该更加担心的事情还是攻击者浏览器上的更改只是暂时的?
这些更改在个人用户的浏览器上是暂时的。
但是,这些更改将允许该用户以他们选择的方式与您的后端进行交互。这是网站受到攻击的一种方式。
标准规则是永远不要信任来自用户/浏览器的输入。不要相信隐藏字段的值,不要相信它们没有改变长度,不要相信它们没有添加新值(例如下拉列表),不要相信在Javascript中完成的任何验证, ETC。
一些例子:
| 归档时间: |
|
| 查看次数: |
16350 次 |
| 最近记录: |