博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
HTML表单提交的安全问题
阅读量:6002 次
发布时间:2019-06-20

本文共 820 字,大约阅读时间需要 2 分钟。

<form>元素定义了如何发送数据。它的所有属性都是为了让您配置当用户点击提交按钮时发送的请求。两个最重要的属性是action和method。

  • action属性

    • 这个属性定义了发送数据要去的位置。它的值必须是一个有效的URL。如果没有提供此属性,则数据将 被发送到包含表单的页面的URL
  • method属性

    • 该属性定义了如何发送数据。HTTP协议提供了几种执行请求的方法;HTML表单数据可以通过许多不同的数据传输,其中最常见的是GET方法和POST方法。

每次向服务器发送数据时,都需要考虑安全性。到目前为止,HTML表单是最常见的攻击媒介(可能发生攻击的地方)。这些问题从来都不是来自HTML表单本身,它们来自于服务器如何处理数据。

XSS CSRF

跨站脚本(XSS)和跨站点请求伪造(CSRF)是常见的攻击类型,它们发生在当您将用户发送的数据显示给用户或另一个

XSS允许攻击者将客户端脚本注入到其他用户查看的Web页面中。攻击者可以使用跨站点脚本攻击的漏洞来绕过诸如同源策略之类的访问控制。这些攻击的影响可能从一个小麻烦到一个重大的安全风险。

CSRF攻击类似于XSS攻击,因为它们以相同的方式攻击——向Web页面中注入客户端脚本——但它们的目标是不同的。CSRF攻击者试图将特权升级到特权用户(比如站点管理员)的权限,以执行他们不应该执行的操作(例如,将数据发送给一个不受信任的用户)。

XSS攻击利用用户对web站点的信任,而CSRF攻击则利用网站为其用户提供的信任。

为了防止这些攻击,您应该始终检查用户发送给服务器的数据(如果需要显示),尽量不要显示用户提供的HTML内容。相反,您应该处理用户提供的数据,这样您就不会逐字地显示它。当今市场上几乎所有的框架都实现了一个最小的过滤器,它可以从任何用户发送的数据中删除HTML<script>、<iframe> 和<object> 元素。这有助于降低风险,但并不一定会消除风险。

转载地址:http://tmzmx.baihongyu.com/

你可能感兴趣的文章
AngularJs初识
查看>>
带着三个问题深入浅出React高阶组件
查看>>
点石成金-Linux目录结构,命令,文件类型学习
查看>>
16. php-fpm配置相关
查看>>
处理图形中的乱码
查看>>
安装软件包
查看>>
linux磁盘分区丶挂载和卸载与格式化
查看>>
cobbler简概
查看>>
Objective-C中runtime机制的应用
查看>>
Tomcat日志中文乱码问题解决
查看>>
云搜索服务在日志解决方案的应用
查看>>
Jersey 2.x 分支 Java SE 兼容性
查看>>
PHP执行效率高zblog-asp为什么还有生存的空间?[图]
查看>>
国内有哪些可在室内外都能使用的激光雷达?
查看>>
zabbix的组件及作用 理论
查看>>
华为荣耀手机录制视频 华为手机如何录制视频
查看>>
商业化新路径?谷歌用AI提高风力发电效率
查看>>
红米手机5获取Root超级权限的步骤
查看>>
iOS开发网络篇—GET请求和POST请求
查看>>
选购25G网卡的方法
查看>>