2. 程式人生 > >FORM表單安全之使用隱藏域(type="hidden")的注意事項

FORM表單安全之使用隱藏域(type="hidden")的注意事項

阿新 發佈:2018-12-13

最近我測試了一些帶有表單中帶有隱藏域的一些網站,發現一個比較普遍的BUG!

一、BUG表述

表單程式碼如下

<form id='' action='' method=''>
    <input type='text' name='' value=''/>
    //使用者在這裡輸入資訊
    <input type='hidden'  id='' value =''/>
    //隱藏域攜帶一些值
    <button type='submit'>提交<button/>
<form/>

 知道前端的同學們都知道,瀏覽器當中可右擊檢查程式碼,在原始碼中雙擊value就可以手動更改value的值,更改成功過後如果不新增校驗程式碼,那麼我將這個錯誤的值通過表單上次後,將對後臺資料造成嚴重的隨時

。如下圖:

二、BUG解決方案

1、如果表單中隱藏域的值在整個專案中都有使用,可以考慮通過session,在action後臺處理介面中,直接讀取session的值,而不是通過前臺的隱藏域讀取。

2、在表單中,不得不使用隱藏域的時候,我們需要新增js校驗檔案,對隱藏域的值進行校驗,檢驗通過後才允許提交表單。

相關推薦

FORM安全使用隱藏type="hidden"注意事項

最近我測試了一些帶有表單中帶有隱藏域的一些網站,發現一個比較普遍的BUG! 一、BUG表述 表單程式碼如下 <form id='' action='' method=''> <input type='text' name='' value=''

vue+element 學習筆記 form驗證input數字必輸只能是數字校驗問題

序言 在開發專案的過程中,表單需要設定某些欄位輸入的值必須是數字,且是必輸欄位,我使用了element提供的方法v-model.number,但是出現了一點問題。具體見圖: 用了v-model.nuber以後: 看到了圖以後很顯然意見,他雖然完成了必輸欄位需要時

form提交沒有跨問題,但ajax提交存在跨問題

瀏覽器的策略本質是:一個域名下面的JS,沒有經過允許是不能讀取另外一個域名的內容,但是瀏覽器不阻止你向另外一個域名傳送請求。 所以form表單提交沒有跨域問題,提交form表單到另外一個域名,原來頁面是無法獲取新頁面的內容,或者說form提交後不需要返回,但是ajax是需要返回的。 而ajax是想要讀取響

JSP-詳細總結form:name= method=postget action=

(學習語言:JSP) 文章目錄 name="form" method=post (或get) get方法 post方法 對比【表格】 `action="___.jsp"`

layui關於form模組select帶搜尋功能

提示:必須在layui-form裡面使用 layui預設 <div class="layui-form-item"> <label for="" class="layui-form-label">wa</label> &

Angular 4/5 formselect初始化選中簡單string和複雜物件

1.問題場景 管理員增刪改查中的“改”操作。管理員有性別(sex)和崗位(position)屬性。其中,性別在後端為列舉型別,position為類。 要求進入管理員修改頁時,自動選擇性別,通過介面獲取所有崗位,並自動選中當前管理員的崗位。 2.實現思路

form序列化轉json後臺接收json轉object

1.表單序列化 var entity = $("#formId").serializeArray(); 2.表單轉json封裝 function arrayToJsonObject(arr) {     var json = {};     for (var i = 0;

form提交Enter提交

通常情況下,我們在頁面上操作輸入框的時候,像搜尋框,登入的時候,我們一般輸入完成後喜歡直接enter去獲取結果,然而尷尬的是當我們在註冊的時候,則不喜歡每填完一個內容就enter提交了。其實根據業務的不同需要,需要我們去判斷,在這之前需要我們去了解一下瀏覽器的一

jsp form提交獲取返回資料也可用來上傳檔案、圖片

function fileImport() {        var form = $("#表單id");          var options  = {               url:"表單提交地址",                 type:'post

JSP中的隱藏

給表單中的input標籤設定type為hidden,即為隱藏域 方便在不顯示ID屬性值的情況下,為下一JSP頁面操作傳遞ID數值。 <input type="hidden" name="n

JQueryEasyUI 驗證驗證框非空驗證

1,介紹  設計目的為了驗證輸入的表單欄位是否有效         如果無效,他將改變輸入框的背景顏色,並顯示警告圖示和提示資訊                  優點         1.包含很多內

element Form自定義校驗針對區域性輸入控制元件區域性校驗

最近幫朋友看一個vue專案,需要在整個表單的一個輸入控制元件上新增校驗,因為表單是動態建立的,就沒有考慮整個表單繫結rules,而是在<el-form-item>上綁定了rules,具體程式碼如下: template/html部分: <el-form-i

form提交Ajax版和常用版區別和聯絡。

使用Ajax方法實現form表單的提交 1.區別 聯絡 在使用form表單的時候,一旦點選提交觸發submit事件,一般會使得頁面跳轉,頁面間的跳轉等行為的控制權往往在後端的控制層,後端會控制頁面的跳轉及資料傳遞。 但是當不希望頁面跳轉或者是想要將控制權放

在spring boot中的log4j2程式設計式配置Programmatic Configuration注意事項

1、在入口類中,不可有如下的類變數申明: private static final Logger logger = LogManager.getLogger(App.class); 2、如果採取程式設

form上傳type="file"的使用----上傳文件

ctype 頁面 web sdi fff public exce res substr 一,單個文件的上傳 1.html/jsp頁面 <%@ page language="java" contentType="text/html; charset=UTF-8"

Ajaxform文件上傳、請求頭contentType、Ajax傳遞json數據

ati 沒有 服務端 內容 click 寫入 ESS mit 上傳 form表單文件上傳 上菜 file_put.html <form action="" method="post" enctype="multipart/form-data"> {#

Ajaxform檔案上傳、請求頭contentType、Ajax傳遞json資料

form表單檔案上傳 上菜 file_put.html <form action="" method="post" enctype="multipart/form-data"> {# 這裡必須要請求頭格式才能把上傳檔案的物件傳過去 enctype="multipart/form-

ASP.NET 安全認證—— 如何運用 Form 認證 摘自 http://blog.csdn.net/cityhunter172

ASP.NET 安全認證(一)——如何運用 Form 表單認證作者:寒羽楓(cityhunter172)序程式碼寫 N 久了,總想寫得別的。這不,上頭說在整合兩個專案,做成單一登入(Single Sign On),也有人稱之為“單點登入”。查閱相關文件後,終於實現了,現在把它

ASP.NET 安全認證:如何運用 Form 認證

程式碼寫 N 久了,總想寫得別的。這不,上頭說在整合兩個專案,做成單一登入(Single Sign On),也有人稱之為“單點登入”。查閱相關文件後,終於實現了,現在把它拿出來與大家一起分享。或許大家會問:“這與標題不符呀?”別急,在下筆之前,我腦子裡想到了我剛使用 Form

一般處理程式中使用隱藏來實現非Form元素上資料的改變

html程式碼: <!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <me