这一直在向我强调..我有一个隐藏的输入:
<input type="hidden" value="North Miami" name="city">
我在提交表单之前通过javascript使用有效的城市名称填充隐藏的输入。假设有人想提交Banana而不是城市名称。罪魁祸首可以很容易地通过像Richbug这样的DOM检查员来改变输入值。
如何确保隐藏的输入不被篡改?我已经验证了针对攻击的输入,但只要我接受字母字符,就可以提交任何内容,因此banana ...
编辑:我指的是隐藏的输入,而不仅仅是城市名称。由脚本填充的任何值和必须不加改变地提交的值。
答案 0 :(得分:12)
一些想法:
仅限服务器端。最简单的方法是使用会话变量(如$_SESSION),以便保留在服务器端的所有数据,但管理它并保持用户可能单独打开的单独选项卡可能会有点棘手。此选项可防止用户查看或编辑信息。
让客户端携带加密的blob。获取所有“临时但受保护”的数据,以某种方式将其组合(例如JSON),然后使用仅为服务器知道的密钥加密*整个事物。 Base64结果并将其放入隐藏字段值。 (请注意,对于高安全性的应用程序,您还需要将HMAC用于此过程,该过程验证密文未被修改。)此选项还会阻止用户查看或编辑信息,但可以更轻松地处理一个用户打开多个标签的情况。
仍然使用不那么秘密的隐藏输入字段,但添加了防篡改机制。因此,当生成页面时,获取所有现有的“受保护”变量,将它们以某种方式与服务器端秘密值组合,并将它们哈希[更正:HMAC]。将哈希存储在自己的隐藏字段中。然后在用户提交后,重复该过程并检查哈希是否匹配。如果没有,请将安全违规页面的所有内容都包含在内。
*与所有加密技术一样,这样做“正确”的方式可能很棘手,并且很大程度上取决于您如何加密/验证。在密码和密码模式等方面存在很多陷阱。
最后,请记住,阻止人们修改它并不意味着用户无法复制所有内容并在以后或其他帐户下重复使用,除非您采取措施包含“时间戳”等。
答案 1 :(得分:10)
你做不到。您永远不能依赖用户提交的数据。即使你可以阻止用户修改DOM元素(你不能),你也很难阻止他们使用cURL,wget或其他一些库来提交HTTP请求。不要相信用户发送的任何数据。
如果要确保值不会更改,则必须将其存储在服务器上。 PHP有一个很好的功能,允许你这样做 - sessions。将数据存储在会话中,用户将无法对其进行修改,因为它将存储在您的服务器上,永远不会传输给用户本身。
答案 2 :(得分:1)
如果您一心想避免使用服务器回发来验证输入,您可以base64 encode隐藏输入,至少让人们更难以篡改它。
答案 3 :(得分:1)
你做不到。永远记住这一规则将为您节省大量的思考和设计时间。如果浏览器有它,则不安全。