-1
添加安全問題,以便用戶在超過最大嘗試次數時可以重置密碼。對身份驗證機制使用隱藏字段這樣做不好嗎?用戶可以編輯隱藏字段嗎?
<input type="hidden" name="securityAnswered" value=true>
<input type="hidden" name="exceededAttempts" value=true>
用戶可以從客戶端進入並編輯這些隱藏字段嗎?
A
回答
4
用戶可以從客戶端進入並編輯這些隱藏字段嗎?
當然!客戶端上的任何內容都可以編輯。你不能阻止用戶這樣做。
您必須記住,客戶端可以隨時向服務器發佈任何內容。當然
+0
好吧,那麼將另一種方式將此信息從表單發送到服務器? – rtd353
+1
@ rtd353驗證應該在服務器上完成。沒有其他辦法:客戶端發佈數據,服務器接收並**驗證**。 –
+0
這是真的,但我只想補充一點,如果你真的想在客戶端保存數據,你仍然可以使用安全會話。 –
0
是的,任何一個都可以通過點擊ctrl+maj+i
0
改變是,滲透測試人員做這使用攔截代理,如打嗝或將清除所有的時間。
https://portswigger.net/burp/proxy.html https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
有修改這類數據,包括瀏覽器的開發者工具的許多其他方式。
相關問題
- 1. 我可以向軌道3隱藏字段添加邏輯嗎?
- 2. 刪除/隱藏用戶名字段在Django admin編輯用戶表格
- 3. 我可以用隱藏的字段替換ViewState嗎?
- 4. 我可以隱藏/禁用Settings.bundle中的字段嗎?
- 5. 用戶可以複製隱藏的字段數據?
- 6. 可以要求django隱藏字段?
- 7. 如何使用jquery和textarea編輯隱藏的輸入字段?
- 8. Odoo9爲簡單用戶隱藏字段
- 9. Pyserial可以使用隱藏設備嗎?
- 10. 可以用CSS隱藏微數據嗎?
- 11. ios NSUserDefaults存儲用戶名。用戶可以編輯這個嗎?
- 12. 隱藏字段
- 13. 隱藏字段
- 14. 您可以並排放置兩個編輯字段嗎?
- 15. 在編輯表單中設置隱藏字段
- 16. Rails - 水豚,從trix編輯器填充隱藏字段
- 17. Sitecore:從頁面編輯器中隱藏數據模板字段
- 18. KendoUI網格編輯彈出框,如何隱藏字段
- 19. 在Sharepoint 2010編輯窗體上隱藏字段
- 20. Rails:可編輯/不可編輯的字段取決於用戶權限
- 21. 我們可以隱藏用戶的javascript加載嗎?
- 22. Show vs ShowDialog。對話框可以被用戶隱藏嗎?
- 23. 當編輯器字段被隱藏時隱藏qTip錯誤消息,當可見時顯示
- 24. 編輯隱藏頁腳Wordpress
- 25. LinkedIn隱藏/編輯短URL
- 26. 隱藏在文本編輯
- 27. 惡意用戶可能編輯$ _SESSION嗎?
- 28. 文本字段使可編輯,不可編輯使用jquery
- 29. 我可以在隱藏字段中使用模糊,jquery
- 30. Jquery隱藏字段
如果您使用的是谷歌瀏覽器或Firefox,只需右鍵單擊並選擇檢查元素項目,然後就可以更改客戶端事物的值 –
還有其他一些程序可以執行此操作,如螢火蟲, ... –
在您的控制檯中,執行:'document.querySelector(「input [name = securityAnswered]」)。value =「wibble」' – Tibrogargan