首頁猿問為什么客戶端驗(yàn)證不夠？

為什么客戶端驗(yàn)證不夠？

源碼算法與數(shù)據(jù)結(jié)構(gòu)

白衣染霜花 2019-08-13 15:53:48

為什么客戶端驗(yàn)證不夠？我在這里看到：您可能已經(jīng)知道，僅依靠客戶端驗(yàn)證是一個(gè)非常糟糕的主意。始終執(zhí)行適當(dāng)?shù)姆?wù)器端驗(yàn)證。你能解釋為什么服務(wù)器端驗(yàn)證是必須的嗎？

查看完整描述

3 回答

慕桂英3389331

TA貢獻(xiàn)2036條經(jīng)驗(yàn) 獲得超8個(gè)贊

編寫服務(wù)器應(yīng)用程序有一個(gè)簡單的規(guī)則：永遠(yuǎn)不要信任用戶數(shù)據(jù)。

您需要始終假設(shè)惡意用戶以您不想要的方式訪問您的服務(wù)器（例如，在這種情況下，通過手動(dòng)查詢curl而不是預(yù)期的網(wǎng)頁）。例如，如果您的網(wǎng)頁試圖過濾掉SQL命令，則攻擊者已經(jīng)很好地提示它可能是一個(gè)很好的攻擊向量來傳遞帶有SQL命令的輸入。

反對(duì) 回復(fù) 2019-08-13

暮色呼如

TA貢獻(xiàn)1853條經(jīng)驗(yàn) 獲得超9個(gè)贊

您正在與之交談的客戶可能不是您認(rèn)為正在與之交談的客戶，因此可能無視您要求它進(jìn)行的任何驗(yàn)證。

在網(wǎng)絡(luò)環(huán)境中，用戶不僅可能在瀏覽器中禁用了javascript，而且還有可能根本就沒有與瀏覽器通話 - 您可能正在從機(jī)器人那里獲取表格提交到你的提交網(wǎng)址，而根本沒有看過表格。

在更廣泛的背景下，您可能正在處理一個(gè)黑客客戶端，該客戶端正在發(fā)送真實(shí)客戶端永遠(yuǎn)不會(huì)發(fā)送的數(shù)據(jù)（例如，F(xiàn)PS游戲的目標(biāo)機(jī)器人），甚至可能是由反向設(shè)計(jì)您的線路協(xié)議的人創(chuàng)建的完全自定義客戶端它對(duì)您期望執(zhí)行的任何驗(yàn)證一無所知。

反對(duì) 回復(fù) 2019-08-13