2
我想根據url上的參數觸發一些事件,確實會造成安全風險。 示例 Url = examples.com?#job 然後我做 Spl = Url.split('?') $('a'+ spl [1]).trigger('click')。是依靠查詢參數來觸發事件在javascript中的安全風險
的例子是工作,我只是想知道,如果這不會帶來安全風險
A
回答
2
只要用戶可以看到沒有登錄,這是很好,你不能真正阻止用戶調整的Javascript 。
如果事情可以通過JavaScript來完成,不管你無法讓自己的用戶做:)
如果是安全網頁,使用過濾器或餅乾在服務器端查看驗證。
0
取決於頁面上的內容。想象一下,如果您有廣告,例如 - 如果我是一個不擇手段的廣告客戶,我可以發送大量鏈接到examples.com?#myEvilAd的垃圾信息,並讓用戶自動點擊它。
這可能聽起來像我是偏執狂 - 你可能是對的:但通常這是對網絡安全的正確態度。
我認爲更好的方式來處理,這將是有各種各樣的白名單 - 而不是將URL後綴直入的情況下,做這樣的事情:
var spl = url.split("?");
if (spl.length > 1) {
switch (spl[1]) {
case "#job":
$("a #job").trigger("click");
break;
case "#job2":
$("a #job2").trigger("click");
break;
}
}
現在,你才能確定你明確允許的事情將被處理。
相關問題
- 1. AHAH是安全風險嗎?
- 2. WCF查詢攔截器:此MSDN是否存在安全風險?
- 3. 查看公共文件,是否存在大的安全風險?
- 4. WordPress - 安全風險?
- 5. 使用MySQL觸發器執行PHP有哪些安全風險?
- 6. 可以image.src是一個安全風險?
- 7. Apache中auto_prepend_file的安全風險?
- 8. Drupal中$ update_access_free = true的安全風險
- 9. 依靠&&在.NET中安全短路嗎?
- 10. 評估在查詢字符串中暴露行標識的安全風險
- 11. JavaScript,通過JSON傳遞用戶ID是一種安全風險?
- 12. 在JavaScript中觸發事件
- 13. 在WEB-INF中顯示文件路徑的安全風險java
- 14. 啓用MSDTC的安全風險
- 15. WCF自簽證明的安全風險
- 16. 將整個網址作爲參數發送有沒有安全風險?
- 17. 如何安全地觸發事件?
- 18. 依賴URL查詢參數的順序是合法還是安全?
- 19. 來自JavaScript的觸發事件
- 20. SP_OACreate,SP_OAMethod等的使用是否存在安全風險?
- 21. lambda表達式序列化中的安全風險是什麼?
- 22. 個人使用泡椒安全風險
- 23. ASP MVC會話安全風險
- 24. ElementRef安全風險角度2
- 25. 多個提交按鈕安全風險
- 26. PHP過濾器和安全風險
- 27. 表單身份驗證安全風險
- 28. 使用xpath有什麼安全風險?
- 29. SSL系統屬性 - 安全風險?
- 30. 有任何安全風險codealike?