假设我在任何一种情况下进行相同的字段验证,无论是将表单发布回自己的文件还是另一个表单,安全性方面是否存在差异?
请注意,我不是指表单数据中的敏感信息或密码,而是指两种方法是否更好地避免各种类型的攻击.
它没有任何区别.接受表单输入的页面不知道数据来自何处(HTTP引用程序对于欺骗是微不足道的),并且任何安全性工作都将取决于与表单数据来源完全无关的事物.
它实际上确实有所不同 - 主要是因为如果你回发自己,它不会创建一个新的历史记录条目,但如果你发布到另一个页面,它确实在浏览器中创建一个新的历史记录条目.这主要是对公共终端以及记住表单内容的浏览器感兴趣.
填写表格
提交
离开电脑
邪恶的个人点击后退按钮并读取表格的内容.
我还认为要完全防止这种攻击,你需要涉及301重定向.那就是你发布到网址,网址以301响应,将你发送回原始页面.
京公网安备 11010802040832号 | 京ICP备19059560号-6 