在 Google Inspector 中更改 HTML

Question

我知道打开 Google Inspect Element 并更改任何给定网站的 HTML、CSS 或其他内容是非常有可能的。

不过，我的问题是，这真的不是安全威胁吗？或者至少对您网站的完整性构成威胁。假设您有一个用 PHP 完成的网站，并且在脚本中您希望从表单中发送 POST，但是有人在 Inspect Element 中打开了您的站点，并将表单更改为 GET。您的网站无法正常运行，对吗？

我不得不想象一些精通黑客的流氓可能会对此造成一些损害，不是吗？我自己并不精通黑客，所以我不知道他们能做什么，但我必须想象最坏的情况。

那么这是我们在开发网站时应该考虑的另一件事吗？人们如何更改 HTML？我的意思是，我理解需要去掉标签以及所有这些以保护您的网站免受恶意用户输入的影响，但不得不担心他们如何在他们眼前实际更改网站有点荒谬。

想法？

Answer 1

不，这从不构成安全威胁。一点也不。真正的黑客会使用BURP（或类似代理）来利用糟糕的网络应用程序，这通常比修改 JavaScript 的 HTML 更容易。

能够修改客户端脚本是显而易见的，这不是威胁。只有当一个天真的开发人员依赖这些控制来确保安全时，才会产生威胁，在这个行业中，我们称之为CWE-602 违规。您永远不能信任客户端，这是 Web 应用程序安全的基础。 所有与安全相关的控制都必须在服务器端。