これは幅広い質問だと思いますが、ここで何かが足りないと思います。攻撃者がinspect要素を使用してjavascriptとhtmlを編集するだけで、サイトに損害を与える可能性はありますか?たとえば、誰かが入力の最大長を変更し、サーバーをクラッシュさせる可能性があるほど多くのデータをアップロードするのは簡単すぎるようです。サーバーでデータをチェックすることは常に良い習慣ですが、それでも簡単すぎるようです。または、もう1つの潜在的に危険な例は、攻撃者が$.ajax
通話を台無しにしてサーバーに不正な情報を送信する可能性がある場合です。それは私がもっと心配すべきことですか、それとも攻撃者のブラウザでの変更は一時的なものですか?
変更は、個々のユーザーのブラウザで一時的に行われます。
ただし、この変更により、そのユーザーは、選択した方法でバックエンドと対話できるようになります。これは、サイトが攻撃される1つの方法です。
標準的なルールは、ユーザー/ブラウザからの入力を決して信用しないことです。非表示フィールドの値を信頼しない、長さが変更されていないことを信頼しない、新しい値を追加していない(ドロップダウンなど)ことを信頼しない、Javascriptで行われた検証を信頼しない、等
いくつかの例:
この記事はインターネットから収集されたものであり、転載の際にはソースを示してください。
侵害の場合は、連絡してください[email protected]
コメントを追加