0
我所有的控制器都有一對/Edit的動作,一個用於GET請求,另一個用於POST請求。我已經在GET調用中添加了權限檢查(授權),以確保任何不應訪問對象的人都不會進入該對象。何時需要保護/編輯的GET和POST版本?
我是否需要在POST版本的方法中添加相同的檢查?它是多餘的,還是我應該合理地期望有人欺騙HTTP POST請求,即使他們不能訪問GET版本?
A
回答
1
這是trivially easy發送一個POST請求到一個URL。如果您的網站處理敏感/祕密數據,您應該期望人們嘗試各種方式來獲取它,並且您應該確保所有訪問點(包括POST請求)都檢查用戶是否有權訪問請求。
0
您可能沒有意識到,您已經偶然發現過去許多網站的主要漏洞。通常情況下,開發人員通過GET請求保護對頁面的訪問,但無法保護POST,因爲他們不希望它被使用。但是,很多Web框架都使用默認設置來通過使用GET查詢字符串或POST參數來處理GET和POST。如果yoru框架執行此操作並且您保留默認設置,則您可以隨時進行攻擊。
您可能還會感興趣的是,大多數Web應用筆測試人員首先映射應用程序,併爲GET資源發出POST請求,反之亦然。知道有多少黑客以這種方式完成,你會感到震驚。嘗試向Google發送POST請求,並注意他們在服務器上的表現如何。
總之,對GET和POST請求應用相同的安全代碼!如果POST永遠不會發生,那麼完全禁用它,以便服務器返回錯誤。
相關問題
- 1. 如何保護Django Tastypie REST API不需要用於POST和GET的credentails
- 2. 當需要參數時GET與POST
- 3. Netbeans Spring 4.0需要GET和POST
- 4. mIRC鏈接保護[編輯腳本]
- 5. DataGrid.ItemsSource返回舊的數據,當我需要編輯的版本
- 6. 想要保護編輯文本從改變
- 7. 是否需要CSRF保護免於副作用的GET請求?
- 8. 保護編輯和刪除記錄
- 9. 用戶的文本編輯和保存以前的版本
- 10. 我需要確保使用jquery get或post的最新響應
- 11. 宏編輯/查看保護
- 12. 需要javolution和jdk版本
- 13. 每次我編輯用戶界面的應用程序腳本代碼時,是否需要保存新版本?
- 14. 不需要CSRF保護?
- 15. 現在需要的SDK版本編譯
- 16. Html.AntiForgeryToken如何通過前面的GET來保護POST
- 17. rails new_booking_path需要POST而不是GET
- 18. 僅在編輯時需要的字段
- 19. 編輯時需要的密碼
- 20. 保留版本計數,需要確認
- 21. Subversion版本庫保護
- 22. 將參數添加到要編輯的版本「隊列」時間
- 23. 保護GET調用
- 24. 當我需要POST時使用GET的window.location.href
- 25. 需要腳本來編輯文件
- 26. 文本編輯需要幫助
- 27. 需要ASP.Net/MVC富文本編輯器
- 28. 彙編版本需要什麼格式?
- 29. 需要在本地存儲中保存和檢索Http post response
- 30. 對於XSS保護,我是否需要在填充編輯之前轉義
是的肯定! – amhed