如何防止FORM表单本地提交?

ZhangKevin2 发布于 2013/05/29 14:55
阅读 997
收藏 1
这方面的表单安全 思路是啥

就是 有人把当前页面表单页面 HTML代码下载到本地,然后存为HTML

只要知道提交的ACTION地址 就可以在本地提交
加载中
0
麦麸子lee
麦麸子lee
验证session和cookie还有就是数据的来源,验证越多越好了,当然,如果他真心想搞破坏,你再怎么验证,他都可以伪造
IdleMan
IdleMan
不过使用md5不能防止用程序读取并post。验证码稍微复杂点就可以防止程序post了
IdleMan
IdleMan
回复 @ZhangKevin2 : 验证码不友好,md5不影响用户体验
麦麸子lee
麦麸子lee
回复 @ZhangKevin2 : 不单是验证码,是数据请求头里带有很多信息,要验证那些信息,还有User-Agent,Referer 等等。至于你说的加个隐藏的input,一般是服务器端生成的,我见过的,大多是asp.net控件要生成这些,也是他验证机制的一部分吧
Z
ZhangKevin2
- 你就是说验证码啊 这个我知道 我的意思是为什么有的网站采用 一个隐藏IPUT框里面 随机MD5和服务端进行匹配 既然验证码就可以解决这个问题,为什么他们还采用那种方法
0
布谷鸟
布谷鸟
让它提交呗,管它呢,你服务器做好数据合法性验证就可以了
0
Beyond-Bit
Beyond-Bit
禁止修改cookie ~~~,这样就可以防止其复制然后提交!
0
MuBeiBei
MuBeiBei

在form表单里 加一个 动态验证码就行了。

现在好多网站都有,注册或者是登录的时候,要填写验证码。

或者是手机验证码。

Z
ZhangKevin2
验证码没啥 我是说还有其他方法提高安全性吗
0
罪恶的花生
罪恶的花生
判断来源地址
0
泡不烂的凉粉
泡不烂的凉粉
简单的,表单隐藏域里面有个动态内容,随时间改变,比如1分钟. 下载本地无法获取服务器上的隐含域内容.提交当然都可以判断无效.
0
hysjw
hysjw
随机token
0
loyal
loyal

引用来自“罪恶的花生”的答案

判断来源地址
+1024
0
返回顶部
顶部