我目前正在調查防止自動登錄到網站的方法。任何人都可以向我解釋這個網站上添加了多少額外的後參數?
這裏有一個網站,我感到困惑:http://linklicious.me/
的日誌的形式看起來正常,有2場 - EMAILADDRESS和密碼。
然而,每個I張貼與它的時間,2個額外的PARAMS X = 49 & Y = 17被添加到發佈請求:
emailAddress=oueaoeu&password=acdd3e5e93oeuaoeu&x=49&y=17
當我的網站上禁用腳本發生這種情況甚至NoScript的。
這是一個很好的技巧,我很樂意在我自己的網站上使用。但是,如何做到這一點讓我感到困惑。
任何人都可以向我解釋,這是如何做到的?
他們正在使用圖像提交表單。它是HTML標準的一部分,不需要JavaScript或其他任何東西。
<input type="image" class="fLeft loginbtn" src="/Content/Images/Home/Login2.png" alt="Login">
的x和y你看到的其實是,你點擊「登錄」圖像的座標。
<input type="image">...從該用戶可以選擇一個座標和提交表單的圖像...
更具體地,從HTML4 specification for input control types:
當指點設備用於點擊圖像,表單被提交併且點擊座標傳遞給服務器。 x值以圖像左側的像素爲單位進行測量,y值以圖像頂部的像素爲單位進行測量。提交的數據包括name.x = x-value和name.y = y-value,其中「name」是name屬性的值,x-value和y-value分別是x和y座標值。
它通常不用於防止自動登錄,但我猜測一個非常簡單的網絡機器人可能不會「點擊」圖像併發送座標。
如果未收到任何座標它可能例如意味着
如果收到座標,它可能例如意味着
<input type="image" />一個機器人。所以基本上,它不是任何形式的安全措施。
這是因爲你使用圖像按鈕(<input type="image" ...)提交表單。
它送你剛剛點擊到服務器上的圖像的精確座標(X,Y)。提交按鈕是圖片
<input type="image" class="fLeft loginbtn" src="/Content/Images/Home/Login2.png" alt="Login">
當您點擊圖片地圖和某些輸入類型時,它們會被瀏覽器添加 - 它們是點擊位置的x/y座標。 – 2012-02-11 15:58:41