网络安全，隐藏字段（无敏感数据）是否存在问题？

Question

我正在和同事讨论。 我们必须实施一些安全标准。 我们知道不要在隐藏字段中存储“敏感、地址、出生日期”信息，但一般来说，在您的应用程序中使用隐藏字段是否可以。

例如：

action=goback

似乎对此类信息使用隐藏字段比将其添加到查询字符串中更安全。 这是黑客可以用来攻击您的应用程序的又一信息。

Answer 1

通过使用拦截代理（或任意数量的工具），黑客可以像访问查询字符串值一样轻松地访问隐藏字段。

我认为使用隐藏字段没有任何问题，只要它们不用于任何敏感内容并且您像验证来自客户端的任何其他值一样验证它们。

Answer 2

使字段“隐藏”与安全性几乎无关，应该被视为 UI 决定。 无论如何，任何“黑客”都会读取您的 HTML 源代码。

最好根本不显示敏感信息，或者，如果必须的话，使用 SSL（以防止网络中介拦截数据）和登录挑战的某种组合（以防止未经授权的访问）。

Answer 3

如果您公开最终用户无法获得的信息和/或在返回时未对其进行验证，则这只是一个安全漏洞。

我希望将所述信息存储在服务器端会话变量中......

Answer 4

从安全角度来看，将数据存储在隐藏字段中与将数据存储在查询字符串中完全相同。 事实上，如果您的表单使用 GET 操作，那么无论如何它都会以查询字符串结束。

隐藏字段与安全性完全无关； 它们只是一种将数据存储在表单中的方法，而无需强迫用户查看它。 它们没有提供防止用户看到它的方法。

Answer 5

隐藏字段并不总是一个问题，但它们应该始终敲响警钟，因为它们有两个潜在的问题：

1）如果数据敏感，它会将其暴露给客户端（例如使用代理，或者只是查看源代码 - 它是尝试以编程方式阻止这种情况是毫无意义的）

2）如果数据由服务器解释，则知识渊博的用户可以更改它。 举一个愚蠢的例子，如果隐藏字段包含用户的银行余额，他们可以使用代理或某些非标准客户端使服务器认为他们的银行余额是他们选择的任何内容。

第二个是网络应用程序中漏洞的一大来源。 与会话关联的数据应保存在服务器端，除非您有办法在服务器上验证它（例如，如果该字段由服务器签名或加密）。

只要您确定自己没有落入这些陷阱，就可以使用它们。 根据经验，我不会使用隐藏字段，除非您乐意在查询字符串中看到的数据，或者 javascript 需要它们进行处理。 在后一种情况下，您仍然需要确保服务器正在验证，但不要假设客户端将运行您的 JavaScript。

Answer 6

出于篡改检查的目的考虑对隐藏字段的名称和值进行加密，因为黑客仍然可以获取您的隐藏字段并按照他们想要的方式操纵它们。

Answer 7

正如其他人提到的，查询字符串和隐藏字段本质上都是公共数据，可供用户查看。

如果您将数据放在查询字符串上，需要记住的一件事是人们会传递 URL，因此永远不应该包含特定于当前用户的任何信息。

如果无法直接输入该状态，那么不要在 url 中包含状态信息也可能是个好主意。 或者至少您需要处理查询字符串中的无效状态信息。

Answer 8

我想说这并不比将项目放入查询字符串更安全。 毕竟，人们总是可以在网站上查看源代码（并且没有任何方法可以阻止这种情况，因为人们总是可以以编程方式下载源代码）。

这里更好的解决方案是使用在服务器上生成的密钥（并且仅在服务器上）对字段的名称和值进行加密。 除非服务器被黑客攻击，否则客户端将不知道该值的名称是什么或其值。

当然，由于这是来自客户端的，您仍然需要检查返回的数据的有效性，不要想当然地认为它没有以您未指定的方式进行更改。

为此，您将需要使用散列来确保该值没有被篡改。

Answer 9

一般来说，不要对敏感数据使用隐藏表单字段。 仅适用于您意识到“按收到的方式”处理不安全的静态非敏感 POST 数据。 我唯一使用它们的时候是在接收 POST 时渲染和检查会话令牌时存储会话令牌。 防止 CSRF 攻击或至少使攻击变得更加困难。

Answer 10

除了其他发帖者提供的所有其他有用建议之外，我还想补充一点，隐藏字段使您的应用程序不像 url 查询字符串值那样容易受到 SQL 注入攻击。 一如既往，清理您的输入。