|
|
1.不要相信Request.QueryString:
相信在ASP時代,這個問題比較嚴重,不信,隨便到網絡上找幾個ASP的企業站,找到這種url"view.ASP?id=xxx",改成"view.ASP?id=xxx or 1=1",相信你會看到不一樣的東西,到了.NET,應該很少了,不過上次看到有人說CSDN爆過哦,簡單的解決方法是在取得數據時做數據類型驗證或轉換。比如:
int ViewID = 0;
if(int.TryParse(Request.QueryString["ID"], out ViewID)){
//...
}
2.不要相信maxlength:
有時候我們想客戶端輸入的某個值不超過一定的長度,這個時候可能就會用到input的maxlength,但maxlength能100%保證這個值的長度不超過maxlength嗎?請點擊鏈接看看例子。
顯然,maxlength是不可信的,簡單的解決辦法是后臺代碼驗證數據長度:
string UserName = Request.QueryString["UserName"];
if(!string.IsNullOrEmpty(UserName)&&UserName.length > x){
//...提示錯誤或截斷數據
}
3.不要相信Hidden:
有時候我們想把些信息保存到前臺頁面,然后再發送回來,但是我們又不想讓客戶看到這個信息,于是,我們把數據放到了hidden里面,那客戶提交數據時,hidden里的內容真的是我們放的內容嗎?請點擊鏈接看看例子。
這個我一時也沒想到好的驗證方法,暫時也沒有特殊的需求說必須驗證。
4.不要相信客戶端驗證:
比如2和3中的問題,可能有的朋友覺得,我客戶端再加個驗證不就OK了嗎?可是,往往,客戶端驗證也是不安全的,首先,如果客戶端禁用腳本,那客戶端驗證是完全失效的,另外,在腳本有效的情況下,腳本驗證也是可以被篡改的。請點擊鏈接看看例子。
以前QQ空間里可以通過這個方法免費使用黃鉆模板,不知道現在還有沒有。這個就沒有什么好的解決辦法,只能后臺再驗證一次。
5.不要相信編輯器:
有的時候,可能項目中要用到一些簡單的編輯器,于是,我們就找到了一些編輯器,把不需要的功能(比如:編輯源碼、插入圖片等)剔除掉,就成了個簡單的編輯器,那這樣的編輯器還會有什么問題嗎?請點擊鏈接看看例子。
暫時也沒有什么好的解決辦法,以前找到過過濾script標簽的代碼,但似乎不太完美。
6.不要相信Cookie:
網站中不可避免的會使用到Cookie,但如果一不注意,小心你的Cookie成了別人的"Cookie",請點擊鏈接看看例子。
取Cookie和寫Cookie的js方法是在網上找到的,具體鏈接也找不到了。解決辦法,似乎是Cookie加密(當然,即使是加密了,也盡量不要把敏感數據放到Cookie中),不知道各位高手還有沒有其它好辦法。
7.不要相信Request.UrlReferrer:
如果有朋友用這個來驗證請求,那么請注意了,這個東西也是不可信的。見代碼;
System.NET.HttpWebRequest request = System.NET.WebRequest.Create("NET.HttpWebRequest;
request.Referer = "...
那么,這個時候你取得的Urlreferrer會是http://www.cnblogs.com/,但這個請求卻是偽造的。
8.不要相信用戶:
用戶就是你潛在的威脅,客戶端的東西,永遠都不要輕信。
另,select標簽的內容也是不可信的,大家可以動手試試,隨便建個頁面,里面放個select,然后:
歡迎高手不吝賜教。示例代碼下載。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。
