使用框架时是否可以篡改发布数据

Question

我有一个使用框架的网站。有人仍然可以从浏览器中使用地址栏为其中一个框架制作发布数据吗？其中 2 个框架是静态的，另一个框架具有使用 post 进行通信的 php 页面。这似乎不可能，但我想确定一下。

Answer 1

不可以，无法从地址栏POST数据。您只能通过向 URL 添加参数来发起 GET 请求。无法以这种方式附加 POST 正文。

不管怎样，很可能向您的网络服务器发送针对框架中页面的 POST 请求。 HTTP 只是浏览器和网络服务器相互通信的协议。 HTTP 对框架或 HTML 一无所知。框架中的页面有一个 URI，就像任何其他页面一样。当您单击链接时，浏览器会询问服务器是否有该 URI 的内容。服务器将检查它是否有该 URI 的内容并做出相应的响应。但它不知道会返回什么。

使用 TamperData for Firefox 或 Fiddler for IE 任何人都可以轻松修改发送到您服务器的 HTTP 请求。

Answer 2

无论来源和/或环境如何，$_REQUEST 数组中的任何数据都应被视为同等武装和危险。这包括 $_GET、$_POST 和 $_COOKIE。

Answer 3

地址栏中无法添加POST数据。

您应该经常检查&清理 PHP 代码中获得的所有数据，因为任何人都可以将数据发布到您的所有页面。

不要信任页面外部的数据。清洁它&检查一下。

Answer 4

也许不是来自浏览器，但他们仍然可以使用 burp 代理等工具捕获请求（对其进行修改）并将其转发到提供的目的地。

Answer 5

回答您的问题：不，无法使用地址栏发送帖子数据。

但是可以立即将发布数据发送到任何网址。例如使用 cURL 或 Firefox 扩展。因此，无论是 POST、GET、UPDATE 还是其他方式，请务必验证和清理您收到的所有数据。

这不是 iFrame 或 php 特定的，因此在每个 Web 应用程序中都应该考虑它。永远不要相信任何人发送的数据是正确的、有效的或安全的——尤其是当用户发送的数据时。

Answer 6

是的，他们绝对可以，使用 Firebug 等工具，以及 Gordon 列出的显然更专业的工具。此外，即使他们无法在您网站的浏览器中执行此操作，他们也始终可以创建自己的表单，或通过脚本或命令行工具提交发布数据。

您绝对不能依赖客户端来保证安全。