是否有可能在使用框架時篡改發佈數據

Question

我有一個使用框架的網站。是否仍有可能從瀏覽器中爲某人使用地址欄製作其中一個框架的發佈數據？其中2個框架是靜態的，另一個框架具有使用post進行通信的php頁面。它似乎不可能，但我想確定。

Answer 1

不，這是不可能的POST數據從地址欄。您只能通過向URL添加參數來啓動GET請求。 POST Body不能以這種方式附加。

無論如何，它很可能發送POST請求到您的Web服務器的框架中的頁面。 HTTP is just the protocol與您的瀏覽器和網絡服務器相互交談。 HTTP對幀或HTML一無所知。該框架中的頁面具有URI，就像任何其他頁面一樣。當你點擊一個鏈接時，你的瀏覽器詢問服務器是否對該URI有。服務器將檢查它是否具有該URI的某些內容並作出相應響應。它不知道它會返回什麼。

使用諸如TamperData for Firefox或Fiddler for IE之類的工具，任何人都可以修改HTTP請求輕鬆發送到您的服務器。

Answer 2

也許不是來自瀏覽器，但他們仍然可以捕獲請求（修補它）並將其轉發到提供的目的地，並使用burp代理等工具。

Answer 3

POST數據無法添加到地址欄中。

您應該經常檢查&清理您在PHP代碼中獲得的所有數據，因爲任何人都可以將數據發佈到您的所有頁面。

不信任頁面外部的數據。清理它&檢查它。

Answer 4

要回答你的問題：不，不可以使用地址欄發送發佈數據。

但是有可能發送發佈數據到快照中的任何網址。例如使用cURL或Firefox擴展。因此，無論是POST還是GET還是UPDATE或其他，無論如何都要確認並清理您收到的所有數據。

這不是iFrame或php的具體內容，所以應該在每個web應用程序中考慮它。永遠不要依賴任何人發送的數據是正確的，有效的或安全的 - 尤其是當用戶發送時。

Answer 5

無論來源和/或環境如何，$_REQUEST陣列中的任何數據均應視爲平等武裝且危險。這包括$_GET,$_POST和$_COOKIE。

Answer 6

是的，他們絕對可以使用像Firebug這樣的工具，顯然還有像Gordon列出的更專業的工具。此外，即使他們無法在您的網站的瀏覽器中執行此操作，他們也可以始終創建自己的表單，或者通過腳本或命令行工具提交發布數據。

絕對不能依賴客戶端來保證安全。