第七色在线视频,2021少妇久久久久久久久久,亚洲欧洲精品成人久久av18,亚洲国产精品特色大片观看完整版,孙宇晨将参加特朗普的晚宴

為了賬號(hào)安全,請(qǐng)及時(shí)綁定郵箱和手機(jī)立即綁定
已解決430363個(gè)問(wèn)題,去搜搜看,總會(huì)有你想問(wèn)的

阻止 URL 漏洞

阻止 URL 漏洞

在我的應(yīng)用程序中,我們有許多用戶都與不同的呼叫中心有關(guān)。在 URL 中有一個(gè)向后黑客,他們可以call_center=number在 ? 它會(huì)將他們定向到不同的呼叫中心數(shù)據(jù)頁(yè)面。切斷這種可能性的最佳方法是什么?如果他們嘗試編輯 URL,我想將他們重定向到他們所在的當(dāng)前頁(yè)面。我應(yīng)該使用什么方法來(lái)修復(fù)這個(gè)漏洞?
查看完整描述

2 回答

?
holdtom

TA貢獻(xiàn)1805條經(jīng)驗(yàn) 獲得超10個(gè)贊

你提到你有一些用戶,都指向不同的呼叫中心。如果您將用戶存儲(chǔ)在某處并且存儲(chǔ)用戶鏈接到哪個(gè)呼叫中心,那么您可以簡(jiǎn)單地在服務(wù)器端加載用戶的呼叫中心,并且如果它的 ID 與作為參數(shù),然后重定向到正確的呼叫中心頁(yè)面。

如果沒(méi)有存儲(chǔ)用戶的呼叫中心,則存儲(chǔ)它。

如果你沒(méi)有用戶認(rèn)證,那么你可以有一個(gè)公式,涉及服務(wù)器端的 IP 地址或客戶端的 localStorage。

如果每個(gè)用戶只允許一個(gè)呼叫中心,那么將呼叫中心的 id 作為 URL 參數(shù)是沒(méi)有意義的。它弊大于利。


查看完整回答
反對(duì) 回復(fù) 2022-01-02
?
偶然的你

TA貢獻(xiàn)1841條經(jīng)驗(yàn) 獲得超3個(gè)贊

有 3 種方法可以解決這個(gè)問(wèn)題,我可以立即想到。


第一的

為您的呼叫中心提供一個(gè)隨機(jī)或半隨機(jī)值,而不是序列號(hào)。那樣的話,人們從呼叫中心 2 轉(zhuǎn)到呼叫中心 3 會(huì)更困難。如果他們有時(shí)間弄清楚有一個(gè)呼叫中心 3RG5,他們手頭上的時(shí)間比等待時(shí)間要多,除非他們建立開(kāi)始嘗試不同組合的腳本。那時(shí),可能很容易發(fā)現(xiàn)他們的嘗試,并可能在他們加載的下一個(gè)頁(yè)面中添加一條消息,例如鎖定消息,或者他們?cè)谀且环昼妰?nèi)嘗試了太多次。


第二

如果您POST在站點(diǎn)內(nèi)進(jìn)行導(dǎo)航,請(qǐng)使用body代替 URL。


PHP 獲取 a 的主體POST:


# Get JSON as a string

$json_str = file_get_contents('php://input');


# Get as an object

$json_obj = json_decode($json_str);

https://davidwalsh.name/php-json


使用POST主體的 AJAX 調(diào)用的 JavaScript :


var xhr = new XMLHttpRequest();

  xhr.open(form.method, form.action, true);

  xhr.setRequestHeader('Content-Type', 'application/json; charset=UTF-8');


  // send the collected data as JSON

  xhr.send(JSON.stringify(data));  // This is the body of the POST


  xhr.onloadend = function () {

    // done

};

JSON 格式的 POST 數(shù)據(jù)


用戶仍然可以偽造這一點(diǎn),但它涉及更多,而且不太可能是“任何人”。


第三

通過(guò)驗(yàn)證用戶(如果他們是登錄用戶)來(lái)確保用戶有權(quán)訪問(wèn)該頁(yè)面。如果他們未登錄,則返回其他 2 個(gè)選項(xiàng)。


查看完整回答
反對(duì) 回復(fù) 2022-01-02
  • 2 回答
  • 0 關(guān)注
  • 165 瀏覽

添加回答

舉報(bào)

0/150
提交
取消
微信客服

購(gòu)課補(bǔ)貼
聯(lián)系客服咨詢優(yōu)惠詳情

 幫助反饋 APP下載

慕課網(wǎng)APP
您的移動(dòng)學(xué)習(xí)伙伴

 公眾號(hào)

掃描二維碼
關(guān)注慕課網(wǎng)微信公眾號(hào)