我有一个使用框架的网站。是否仍然可以从浏览器中为某人使用地址栏为其中一个帧制作帖子数据?其中2个框架是静态的,另一个框架具有使用post通信的php页面。它似乎不可能,但我想确定。
答案 0 :(得分:3)
不,地址栏中的 POST 数据无法生效。您只能通过向网址添加参数来发起 GET 请求。 POST Body无法以这种方式连接。
无论如何,很有可能将POST请求发送到您的网络服务器以获取帧中的页面。 HTTP is just the protocol,您的浏览器和网络服务器相互通信。 HTTP对框架或HTML一无所知。框架中的页面具有URI,就像任何其他页面一样。当您单击某个链接时,您的浏览器会询问服务器是否具有该URI的某些内容。服务器将检查它是否具有该URI的内容并相应地做出响应。它不知道它会返回什么。
使用TamperData for Firefox或Fiddler for IE等工具,任何人都可以轻松修改发送到服务器的HTTP请求。
答案 1 :(得分:2)
无论来源和/或环境如何,$_REQUEST阵列中的任何数据均应视为同等武装和危险。其中包括$_GET,$_POST和$_COOKIE。
答案 2 :(得分:1)
无法在地址栏中添加POST数据。
你应该经常检查&清理您在PHP代码中获得的所有数据,因为任何人都可以将数据发布到您的所有页面。
不要信任来自网页外部的数据。清洁它&检查一下。
答案 3 :(得分:0)
也许不是来自浏览器,但他们仍然可以捕获请求(修补它)并使用像burp proxy这样的工具将其转发到提供的目的地。
答案 4 :(得分:0)
回答您的问题:不,无法使用地址栏发送帖子数据。
但是可以快速将帖子数据发送到任何网址。例如,使用cURL或Firefox扩展。因此,无论是POST还是GET或UPDATE等等,请务必验证并清理您收到的所有数据。
这不是iFrame或php特定的,所以应该在每个web应用程序中考虑它。永远不要依赖任何人正确,有效或安全的数据发送 - 特别是在用户发送时。
答案 5 :(得分:0)
是的,他们绝对可以使用像Firebug这样的工具,以及显然比Gordon列出的更专业的工具。此外,即使他们无法在您的网站的浏览器中执行此操作,他们也可以始终创建自己的表单,或通过脚本或命令行工具提交发布数据。
您绝对不能依赖客户端来保障安全。