возможно ли подделать данные при использовании фреймов

Question

У меня есть сайт, который использует фреймы. Возможно ли из браузера еще кто-то создать данные поста для одного из фреймов, используя адресную строку? 2 из фреймов являются статическими, а другой фрейм имеет php-страницы, которые обмениваются сообщениями. И это не представляется возможным, но я хотел быть уверенным.

Answer 1

Нет, невозможно POST получить данные из адресной строки. Оттуда вы можете только инициировать GET запросы, добавляя в URL параметры. Тело POST не может быть прикреплено таким образом.

Независимо от этого, очень возможно отправить POST-запросы на ваш веб-сервер для страниц во фрейме. HTTP - это просто протокол , с которым ваш браузер и веб-сервер общаются друг с другом. HTTP ничего не знает о фреймах или HTML. Страница во фрейме имеет URI, как и любая другая страница. Когда вы нажимаете на ссылку, ваш браузер спрашивает сервер, имеет ли он что-то для этого URI. Сервер проверит, есть ли что-то для этого URI, и ответит соответствующим образом. Он не знает , что он вернет, хотя.

С такими инструментами, как TamperData для Firefox или Fiddler для IE каждый может поработать с HTTP-запросами, которые легко отправляются на ваш сервер.

Answer 2

Любые данные в массиве $_REQUEST следует считать одинаково вооруженными и опасными независимо от источника и / или среды. Это включает $_GET, $_POST и $_COOKIE.

Answer 3

Данные POST не могут быть добавлены в адресную строку.

Вы всегда должны проверять и дезинфицировать все данные, которые вы получаете в своем коде PHP, потому что любой может разместить данные на всех ваших страницах.

Не доверяйте данным извне вашей страницы. Очистите и проверьте.

Answer 4

Да, они могут это сделать, используя такие инструменты, как Firebug, и, по-видимому, более специализированные инструменты, подобные тем, которые перечислены Гордоном. Кроме того, даже если они не могут сделать это в браузере с вашего сайта, они всегда могут создать свою собственную форму или отправить данные публикации с помощью инструментов сценариев или командной строки.

Вы абсолютно не можете полагаться на клиента в вопросах безопасности.

Answer 5

Чтобы ответить на ваш вопрос : Нет, отправка данных с помощью адресной строки невозможна.

НО можно отправить данные поста на любой URL-адрес в оснастке. Например, используя cURL или расширение Firefox. Поэтому не забудьте проверить и очистить все данные, которые вы получаете, независимо от того, POST или GET или ОБНОВЛЕНИЕ или что-то еще.

Это не iFrame или php, поэтому его следует учитывать в каждом веб-приложении. Никогда не полагайтесь на то, что данные, отправленные кем-либо, являются правильными, действительными или безопасными, особенно когда они отправляются пользователями.

Answer 6

Может быть, не из браузера, но они все еще могут перехватить запрос (возиться с ним) и переслать его в указанное место назначения с помощью инструмента, такого как отрыжка прокси.