gpt4 book ai didi

javascript - 防止 JavaScript 注入(inject)

转载 作者:行者123 更新时间:2023-11-30 06:56:43 25 4
gpt4 key购买 nike

在 VB.NET Web 应用程序中防止 javascript 注入(inject)的最佳方法是什么?有什么方法可以在页面加载事件中禁用 javascript 吗?

最近,我们 vb.net 产品的部分安全计划是简单地禁用页面上特定用户不可用的按钮。但是,我告诉了那个想到打字的人

javascript:alert(document.getElementById("Button1").disabled="")

在地址栏中将重新启用该按钮。我敢肯定其他人以前遇到过这样的问题,因此我们将不胜感激。谢谢!

更新:除了验证用户输入之外,我如何保护网站不被地址栏篡改?

最佳答案

您对应用程序的客户端行为所做的任何更改都是肤浅的,根本不安全。你不应该依赖这些。他们很好地阻止了 99% 的用户,但要绕过他们非常容易。您应该在调用操作时检查用户是否对服务器端的操作具有正确的权限,这样如果有人决定自己重新启用按钮,他们将无法执行按钮的任何操作做。您无法控制某人可以使用 javascript 对页面执行的操作,因此您永远不应相信来自客户端的任何内容。

对更新的响应:您不能以任何实用的方式,这正是问题所在。一旦网站出现在他们的浏览器中,它就是免费的,他们可以试一试。这就是为什么您的程序应该每次都验证服务器端的所有内容。

关于javascript - 防止 JavaScript 注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/651819/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com