当前位置:  开发笔记 > 编程语言 > 正文

网络安全,隐藏字段是否存在问题(没有敏感数据)?

如何解决《网络安全,隐藏字段是否存在问题(没有敏感数据)?》经验,为你挑选了3个好方法。

我和同事讨论过.我们必须实施一些安全标准.我们知道不会在隐藏字段中存储"敏感,地址,出生日期"信息,但通常可以为您的应用程序使用隐藏字段.

例如:

action=goback

对于那种信息使用隐藏字段而不是在查询字符串中添加它似乎更安全.这是黑客可以用来对您的应用程序使用的一小部分信息.



1> Neil Aitken..:

通过使用拦截代理(或任意数量的工具),黑客可以像查询字符串值一样轻松地访问隐藏字段.

我不认为使用隐藏字段有任何问题,只要它们不用于任何敏感的东西,你就像对待客户端的任何其他值一样验证它们.



2> Triptych..:

使字段"隐藏"几乎与安全性无关,应该被视为UI决策.无论如何,任何"黑客"都会阅读您的HTML源代码.

最好不要显示敏感信息,或者,如果必须,最好使用SSL(以防止网络中介拦截数据)和登录挑战的某种组合(以防止未经授权的访问).



3> Rowland Shaw..:

如果您暴露最终用户无法获得的信息和/或在返回时未对其进行验证,那么这只是一个安全漏洞.

我想改为将所述信息存储在服务器端会话变量中......

推荐阅读
TXCWB_523
这个屌丝很懒,什么也没留下!
DevBox开发工具箱 | 专业的在线开发工具网站    京公网安备 11010802040832号  |  京ICP备19059560号-6
Copyright © 1998 - 2020 DevBox.CN. All Rights Reserved devBox.cn 开发工具箱 版权所有