Имеет ли это значение для безопасности, если форма отправляет в свой файл или другой?

Question

Предполагая, что в обоих случаях я проверяю одно и то же поле, есть ли разница с точки зрения безопасности, отправляете ли вы форму обратно в ее собственный файл или в другой?

Обратите внимание, что я имею в виду не конфиденциальную информацию или пароли в данных формы, а вопрос о том, лучше ли использовать любой из этих методов для предотвращения различных типов атак.

Answer 1

Это действительно имеет значение - главным образом потому, что если вы отправляете обратно самому себе, он не делает новую запись в истории, но если вы публикуете на другой странице, он делает новую запись в браузере. Это в основном представляет интерес для общедоступных терминалов и браузеров, которые запоминают содержимое форм.

1. заполните форму
2. представить
3. оставить компьютер
4. гнусный человек нажимает кнопку «Назад» и читает содержимое формы.

Я также думаю, что для того, чтобы полностью предотвратить такого рода атаки, вам потребуется задействовать редирект 301. То есть вы публикуете URL-адрес, а URL-адрес отправляет сообщение 301, возвращающее вас на исходную страницу.

Answer 2

Это не имеет значения. Страница, принимающая входные данные формы, не знает, откуда поступили данные (HTTP-реферер тривиален, чтобы подделывать), и любые усилия по обеспечению безопасности будут зависеть от вещей, совершенно не связанных со страницей, с которой пришли данные формы.

Answer 3

Нет, это не имеет значения вообще. Все, что вы делаете, это отправляете HTTP-запрос на URL. Ваш сервер обрабатывает запрос и отправляет ответ обратно пользователю. Если ответ оказывается той же страницей, что и страница, отправляющая запрос, это не делает приложение более безопасным или уязвимым для любых атак по HTTP.

Answer 4

Если они оба находятся на вашем сервере и находятся под вашим контролем, то это не имеет значения.