【问题标题】:Is it possible to send form data to server from developer tools是否可以从开发人员工具将表单数据发送到服务器
【发布时间】:2020-10-02 17:41:16
【问题描述】:

我刚刚从某些浏览器附带的开发人员工具中了解到可以操作网站的前端代码。现在,我的问题是,如果有人可以根据需要操纵我的 js、HTML 和 CSS 代码,并且能够向我的网络服务器发送请求,那么服务器是否会接收并处理该请求作为经过身份验证的请求。让我举一个合适的例子:

假设我创建了一个使用 ajax 从我的网络服务器检索一些信息的表单,在表单中我有一个隐藏的输入,其中包含确定将要显示的信息的数字(例如 1 应该为 1 级用户显示信息, 2 应该显示 2 级用户的信息)。隐藏输入的默认值为 1,现在如果用户(级别 1)能够在发送前调整前端代码并将值设置为 2,他是否会收到级别 2 的信息。

如果可能的话,我怎样才能防止这种事情发生,或者处理这种情况的标准程序是什么?

【问题讨论】:

    标签: security authentication frontend developer-tools


    【解决方案1】:

    这种情况下的典型规则是:

    1. 验证
    2. 验证
    3. 验证

    不要只相信客户会告诉你他们是否有权限。您应该拥有确定在服务器端使用它的信息。 验证客户端请求,并确保请求操作的用户实际上有权这样做,并且他们发送的数据是有效的。 当然,您可以通过客户端验证来获得良好的 UX 体验,但始终通过服务器端验证、身份验证和授权来支持它。

    防止您的示例场景的最佳方法是:不要发送他们不应该看到的客户端数据,然后依靠客户端隐藏它。如果用户不应该看到它,不要发送它

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2016-03-06
      • 1970-01-01
      • 2014-02-28
      • 1970-01-01
      相关资源
      最近更新 更多