Возможно ли подделать данные при использовании фреймов
У меня есть сайт, который использует фреймы. Возможно ли из браузера еще кто-то создать данные поста для одного из фреймов, используя адресную строку? 2 из фреймов являются статическими, а другой фрейм имеет php-страницы, которые обмениваются сообщениями. И это не представляется возможным, но я хотел быть уверен.
6 ответов
Нет, невозможно отправить данные из адресной строки. Оттуда вы можете только инициировать запросы GET, добавляя параметры в URL. POST Body не может быть прикреплен таким образом.
Независимо от этого, очень возможно отправить POST-запросы на ваш веб-сервер для страниц во фрейме. HTTP - это просто протокол, с которым ваш браузер и веб-сервер общаются друг с другом. HTTP ничего не знает о фреймах или HTML. Страница во фрейме имеет URI, как и любая другая страница. Когда вы нажимаете на ссылку, ваш браузер спрашивает сервер, есть ли что- то для этого URI. Сервер проверит, есть ли что-то для этого URI, и ответит соответствующим образом. Это не знает, что это возвратит все же.
С такими инструментами, как TamperData для Firefox или Fiddler для IE, любой может легко поработать с HTTP-запросами, которые легко отправляются на ваш сервер.
Любые данные в $_REQUEST Массив следует считать одинаково вооруженным и опасным независимо от источника и / или среды. Это включает $_GET, $_POST, а также $_COOKIE,
Данные POST не могут быть добавлены в адресную строку.
Вы всегда должны проверять и дезинфицировать все данные, которые вы получаете в своем PHP-коде, потому что любой может разместить данные на всех ваших страницах.
Не доверяйте данным извне вашей страницы. Очистите это и проверьте это.
Может быть, не из браузера, но они все еще могут перехватить запрос (возиться с ним) и переслать его в указанное место назначения с помощью инструмента, такого как Burp Proxy.
Да, они могут это сделать с помощью таких инструментов, как Firebug, и, по-видимому, более специализированных инструментов, таких как те, что перечислены Гордоном. Кроме того, даже если они не могут сделать это в браузере с вашего сайта, они всегда могут создать свою собственную форму или отправить данные публикации с помощью инструментов сценариев или командной строки.
Вы абсолютно не можете положиться на клиента в вопросах безопасности.
Чтобы ответить на ваш вопрос: Нет, отправка данных с помощью адресной строки невозможна.
НО можно отправить данные поста на любой URL-адрес в оснастке. Например, используя cURL или расширение Firefox. Поэтому не забудьте проверить и очистить все данные, которые вы получаете, независимо от того, POST или GET или ОБНОВЛЕНИЕ или что-то еще.
Это не специфично для iFrame или php, поэтому это следует учитывать в каждом веб-приложении. Никогда не полагайтесь на то, что данные, отправленные кем-либо, являются правильными, действительными или безопасными, особенно когда они отправляются пользователями.