设为首页收藏本站
切换到简单版切换到宽版

新足迹

 找回密码
 注册
新足迹 论坛 兴趣爱好区 IT与科技 IT专业论坛 如何保护hidden inputs?求建议

精华好帖回顾

· 工伤保险Workcover------离我们的生活有多远 (2007-11-19) xingbu · Outlander 买车经验及驾驶感受分享 (2015-10-4) cl2sws
· 完成第一份Internal Audit Contract,交作业! (2007-1-26) qqyang · 炒面,鲜虾炒面,巨大的虾 (2007-11-3) hattie
Advertisement
Advertisement
返回列表 发新帖
查看: 1494|回复: 10

如何保护hidden inputs?求建议 [复制链接]

gooderic1977

发表于 2014-1-6 10:59 |显示全部楼层
此文章由 gooderic1977 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 gooderic1977 所有!转贴必须注明作者、出处和本声明,并保持内容完整
常被这个问题所困扰。想听听高手的建议。

从开始学.net第一天就一直听到前辈叮嘱“NEVER TRUST THE USER INPUT”,所以server side 各种validation一直是跟进的。但是Server side validation一般是针对可修改字段的,比如name, phone number等。

对于那些hidden inputs比如ID,如何防止黑客用firebug之类的工具来修改呢?一旦被修改,如果server side又没有很好安全逻辑保护,后果就不堪设想。

网上看了一些资料,3种观点:
  • ID这样的字段完全不应该出现在view model里。
  • 可以用,但是应该附加一个encrypted的input,然后在server side再validate。
  • 完全没有必要搞encryption那套。应该在server side实现全面的sanity check。


想听听诸位的高见。
Advertisement
Advertisement

举报

酱油瓶

发表于 2014-1-6 12:31 |显示全部楼层
此文章由 酱油瓶 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 酱油瓶 所有!转贴必须注明作者、出处和本声明,并保持内容完整
帮顶

举报

kksp

发表于 2014-1-6 12:50 |显示全部楼层
此文章由 kksp 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 kksp 所有!转贴必须注明作者、出处和本声明,并保持内容完整
我支持第三点,理论上client side再怎么弄你也是不能100%放心的

评分

参与人数 1积分 +2 收起 理由
gooderic1977 + 2 我很赞同

查看全部评分

举报

lubber
头像被屏蔽

禁止发言
发表于 2014-1-6 13:03 |显示全部楼层
此文章由 lubber 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 lubber 所有!转贴必须注明作者、出处和本声明,并保持内容完整
2 might be easy to deploy

举报

鱼羊鲜

发表于 2014-1-6 13:05 |显示全部楼层
此文章由 鱼羊鲜 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 鱼羊鲜 所有!转贴必须注明作者、出处和本声明,并保持内容完整
比较通用的办法就是2+3啊

举报

joerkky

发表于 2014-1-6 13:09 |显示全部楼层
此文章由 joerkky 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 joerkky 所有!转贴必须注明作者、出处和本声明,并保持内容完整
3
Advertisement
Advertisement

举报

joerkky

发表于 2014-1-6 13:11 |显示全部楼层
此文章由 joerkky 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 joerkky 所有!转贴必须注明作者、出处和本声明,并保持内容完整
能用3就用3,2是下策,原因见3楼

举报

linkspeed
头像被屏蔽

禁止发言
发表于 2014-1-6 15:15 |显示全部楼层
此文章由 linkspeed 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 linkspeed 所有!转贴必须注明作者、出处和本声明,并保持内容完整
>ID这样的字段完全不应该出现在view model里。

不用session?

举报

鱼羊鲜

发表于 2014-1-6 15:23 |显示全部楼层
此文章由 鱼羊鲜 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 鱼羊鲜 所有!转贴必须注明作者、出处和本声明,并保持内容完整
3是必须的,一般还要配合2加密或者 采用表单令牌 form token防止表单伪造等。

评分

参与人数 1积分 +2 收起 理由
gooderic1977 + 2 感谢分享

查看全部评分

举报

bowensyd

发表于 2014-1-16 16:53 |显示全部楼层
此文章由 bowensyd 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 bowensyd 所有!转贴必须注明作者、出处和本声明,并保持内容完整
客户端validation都是防君子不防小人的,server side validation才是王道

举报

pengruijun

发表于 2014-1-16 17:02 |显示全部楼层
此文章由 pengruijun 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 pengruijun 所有!转贴必须注明作者、出处和本声明,并保持内容完整
server side validate 也防不住小人。
关键看你的安全要求级别。
我知道我这是废话,
Advertisement
Advertisement

举报

返回列表 发新帖

发表回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Advertisement
Advertisement
返回顶部