客户端不可信,服务器端也要做验证
来源:互联网 发布:新版淘宝联盟返利教程 编辑:程序博客网 时间:2024/06/07 03:24
客户端验证不能代替服务器端验证
用户可以直接向服务器发Http请求(比如直接在地址栏中构造请求数据,绕过客户端浏览器检查来干坏事。
客户端校验是为了很好的客户端体验,服务器端校验是最后一次把关,防止恶意请求。
一个都不能少。jQuery Validator+服务器端校验是不错的开发模式。
记住数据可以改哦
客户端藏起来、不显示也不一定安全。不要轻信用户提交上来的数据:
比如控制有的数据能删除、有的数据不能删除,如果只是隐藏不能被删除的数据,
而把id作为删除参数传递,就可能有问题。
Http报文的UserAgent、Referer、Cookie等都是可以造假的,
不要相信这些可能会造假的数据。
ValidateRequest
ASP.NET4.0之后会对ashx检测中默认对请求的数据进行了校验,
如果数据中有<、>等有潜在XSS供给的字符,则会报错。对于一些
CMS系统等确实需要提交HTML内容的地方要关闭它,修改web.config,
在<system.web>节点中接入<httpRuntime requestValidationMode="2.0" />
把验证变更为2.0模式。(*.aspx在页面顶部的Page中还要加入
ValidateRequest="false")
这样的功能只能开放给网站编辑、系统管理员等可信的人,对于普通网友不能开放。为什么?
什么是XSS,(跨站脚本,Cross-site scripting)。
用户可以直接向服务器发Http请求(比如直接在地址栏中构造请求数据,绕过客户端浏览器检查来干坏事。
客户端校验是为了很好的客户端体验,服务器端校验是最后一次把关,防止恶意请求。
一个都不能少。jQuery Validator+服务器端校验是不错的开发模式。
记住数据可以改哦
客户端藏起来、不显示也不一定安全。不要轻信用户提交上来的数据:
比如控制有的数据能删除、有的数据不能删除,如果只是隐藏不能被删除的数据,
而把id作为删除参数传递,就可能有问题。
Http报文的UserAgent、Referer、Cookie等都是可以造假的,
不要相信这些可能会造假的数据。
ValidateRequest
ASP.NET4.0之后会对ashx检测中默认对请求的数据进行了校验,
如果数据中有<、>等有潜在XSS供给的字符,则会报错。对于一些
CMS系统等确实需要提交HTML内容的地方要关闭它,修改web.config,
在<system.web>节点中接入<httpRuntime requestValidationMode="2.0" />
把验证变更为2.0模式。(*.aspx在页面顶部的Page中还要加入
ValidateRequest="false")
这样的功能只能开放给网站编辑、系统管理员等可信的人,对于普通网友不能开放。为什么?
什么是XSS,(跨站脚本,Cross-site scripting)。
CKEditor和UEditor(百度)等很多编辑样式的第三方控件。
摘自:传智播客视频教材
0 0
- 客户端不可信,服务器端也要做验证
- CustomValidator,客户端,服务器端验证
- 客户端表单验证&服务器端验证
- 服务器端验证TextBox 以及客户端验证控件
- CActiveForm验证机制 服务器端/客户端/ajax验证
- 注册的验证包括客户端与服务器端
- struts的输入验证服务器端与客户端
- 安全测试--客户端和服务器端验证
- 表单的验证:客户端验证和服务器端验证
- serverlet07 表单的验证:客户端验证和服务器端验证
- 自定义ajax验证控件-客户端引用服务器端的验证
- 8、使用JavaScript与Servlet实现客户端与服务器端验证
- Qt实现客户端/服务器端登录验证|数据传输使用md5加密
- 【Java工程师之路】[3-3.4]客户端与服务器端验证
- 使用JavaScript与Servlet实现客户端与服务器端验证
- 客户端跳转vs服务器端跳转以及登录验证
- 自定义验证类(客户端和服务器端同时验证,支持Ajax验证)[开源]
- 服务器端验证
- 2013.9-2014.2总结
- 85篇精彩的经典古文
- 重新设计TCP/IP协议栈以支持设备移动性
- linux在主机名后自动显示当前路径
- 统计所有表的记录行数
- 客户端不可信,服务器端也要做验证
- 服务器远程桌面连接报错
- 动态规划
- 栈c++实现
- 数据源 DataTable 数据控件之间流通的数据之谜
- 购买Arndale Octa 5420开发板
- Java日期通用工具
- 物理引擎:Rigidbody
- Orchard 微软CMS项目介绍