程序开发中的几个请不要相信

2020-10-08 16:17:29

字体：大中小

来源：转载

供稿：网友

链接中的例子是一些脚本攻击相关的内容，有时间的朋友可以点开看看。

1.不要相信Request.QueryString:

相信在asp时代，这个问题比较严重，不信，随便到网络上找几个asp的企业站，找到这种url"view.asp?id=xxx",改成"view.asp?id=xxx or 1=1",相信你会看到不一样的东西，到了.net，应该很少了，不过上次看到有人说CSDN爆过哦，简单的解决方法是在取得数据时做数据类型验证或转换。比如:
int ViewID = 0;
if(int.TryParse(Request.QueryString["ID"], out ViewID)){
//...
}
2.不要相信maxlength:
有时候我们想客户端输入的某个值不超过一定的长度，这个时候可能就会用到input的maxlength，但maxlength能100%保证这个值的长度不超过maxlength吗？

[Ctrl+A 全选注:引入外部Js需再刷新一下页面才能执行]

显然，maxlength是不可信的，简单的解决办法是后台代码验证数据长度：
string UserName = Request.QueryString["UserName"];
if(!string.IsNullOrEmpty(UserName)&&UserName.length > x){
//...提示错误或截断数据
}
3.不要相信Hidden:
有时候我们想把些信息保存到前台页面，然后再发送回来，但是我们又不想让客户看到这个信息，于是，我们把数据放到了hidden里面，那客户提交数据时，hidden里的内容真的是我们放的内容吗？

<!doctype html="" public=""><=4个字符呢？把下面的代码复制到地址栏enter一下看；></textarea><!doctype html="" public=""><html xmlns="http://www.w3.org/1999/xhtml"><head> <title>改变Hidden的值</title> </head><body style="font-size:12px;line-height:25px;"> <img class="cke_hidden" data-cke-realelement="%3Cinput%20type%3D%22hidden%22%20id%3D%22Type%22%20name%3D%22Type%22%20value%3D%22Robot!%22%20%2F%3E" data-cke-real-node-type="1" alt="隐藏域" title="隐藏域" align="" src="data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==" data-cke-real-element-type="hiddenfield" /> 用户名:<input type="text" id="UserName" name="UserName" /> <input type="submit" value="提交" /> <input type="button" value="查看Hidden" data-cke-pa-onclick="ShowValue();" /> 请先点击"查看Hidden"查看原来的值.正常情况,客户端提交给你的Type的值应该是"Robot!",但是你把下面的代码复制到地址栏然后Enter一下,再点查看Hidden看看;<textarea style="width:600px;height:100px;line-height:20px;"> javascript:alert(window.c=function(){document.getElementById("Type").value = "我不是Robot!"}())</textarea> <//textarea>

</textarea>
[Ctrl+A 全选注:引入外部Js需再刷新一下页面才能执行]

这个我一时也没想到好的验证方法，暂时也没有特殊的需求说必须验证。
4.不要相信客户端验证:

比如2和3中的问题，可能有的朋友觉得，我客户端再加个验证不就OK了吗？可是，往往，客户端验证也是不安全的，首先，如果客户端禁用脚本，那客户端验证是完全失效的，另外，在脚本有效的情况下，脚本验证也是可以被篡改的。

<!doctype html="" public=""><!doctype html="" public=""><=4个字符呢？把下面的代码复制到地址栏enter一下看；></textarea><!doctype html="" public=""></textarea><html xmlns="http://www.w3.org/1999/xhtml"><head> <title>覆盖Submit验证</title> </head><body style="font-size:12px;line-height:25px;"><form action="" method="post" data-cke-pa-onsubmit="return ValidateForm();">     <input type="text" id="UserName" name="UserName" /> <input type="submit" value="提交" /><br /></form> 正常情况,点提交按钮会验证用户名不能为空,并弹出提示,但是你把下面的代码复制到地址栏然后Enter一下,再点提交看看;<textarea style="width:600px;height:100px;line-height:20px;"> javascript:alert(window.c=function(){document.getElementsByTagName("form")[0].onsubmit=function(){alert("我是不会验证数据的哦!");return true;}}())</textarea> <//textarea>

</textarea>
[Ctrl+A 全选注:引入外部Js需再刷新一下页面才能执行]

以前QQ空间里可以通过这个方法免费使用黄钻模板，不知道现在还有没有。这个就没有什么好的解决办法，只能后台再验证一次。
5.不要相信编辑器:

有的时候，可能项目中要用到一些简单的编辑器，于是，我们就找到了一些编辑器，把不需要的功能(比如：编辑源码、插入图片等)剔除掉，就成了个简单的编辑器，那这样的编辑器还会有什么问题吗？

<!doctype html="" public=""><!doctype html="" public=""><!doctype html="" public=""><=4个字符呢？把下面的代码复制到地址栏enter一下看；></textarea><!doctype html="" public=""></textarea></textarea><html xmlns="http://www.w3.org/1999/xhtml"><head> <title>无标题文档</title> </head><body style="font-size:12px;line-height:25px;"> 真正的编辑器应该会有些加粗、倾斜什么的功能，我就不弄了，以最原始的iframe为例。<iframe frameborder="1" style="width:500px;height:200px;" id="sampleEditor"></iframe> 这个简单的编辑器没有查看源码的功能，那客户是不是真的就改变不了里面的内容了？ 请将下面的代码复制到地址栏然后Enter；<textarea style="width:600px;height:100px;line-height:20px;"> javascript:alert(window.c=function(){document.getElementById("sampleEditor").contentWindow.document.body.innerHTML = '

</textarea>
[Ctrl+A 全选注:引入外部Js需再刷新一下页面才能执行]

暂时也没有什么好的解决办法，以前找到过过滤script标签的代码，但似乎不太完美。
6.不要相信Cookie:
网站中不可避免的会使用到Cookie,但如果一不注意，小心你的Cookie成了别人的"Cookie"，
http://img.CuoXin.com/online/demo0415/Cookie.asp
取Cookie和写Cookie的js方法是在网上找到的，具体链接也找不到了。解决办法，似乎是Cookie加密(当然，即使是加密了，也尽量不要把敏感数据放到Cookie中)，不知道各位高手还有没有其它好办法。
7.不要相信Request.UrlReferrer:
如果有朋友用这个来验证请求，那么请注意了，这个东西也是不可信的。见代码；
System.Net.HttpWebRequest request = System.Net.WebRequest.Create("https://www.CuoXin.com/") as System.Net.HttpWebRequest;
request.Referer = "https://www.CuoXin.com/";
...
那么，这个时候你取得的Urlreferrer会是https://www.CuoXin.com/，但这个请求却是伪造的。
8.不要相信用户：
用户就是你潜在的威胁，客户端的东西，永远都不要轻信。
另，select标签的内容也是不可信的，大家可以动手试试，随便建个页面，里面放个select，然后:

复制代码代码如下:

javascript:alert(window.c=function(){var s=document.getElementsByTagName("select")[0];for(var x = 0; x < 100; x++){s.options[x]=new Option("选项" + x, x)}}());

欢迎高手不吝赐教。示例代码下载。

上一篇：Web通信分析工具 [推荐]

下一篇：phpMyAdmin“无法载入 mysql 扩展，请检查 PHP 配置”问题的解决方案