질문 :보안 : 양식 제출 + javascript/jQuery
보안을 염두에두고 양식을 제출할 때 가장 좋은 방법은 무엇입니까?
이것은 n00b 질문 일 수 있지만 사람들이 제출되는 데이터를 변경할 수 있다고 우려합니다. 내 예를 들어 :
사용자의 고유 한 Facebook ID를 저장하는 숨겨진 입력이있는 양식이 있습니다. 나는 Facebook ID를 가져 와서 사용자 계정을 만듭니다. jQuery를 사용하면 일부 사용자가 게시되는 데이터를 변경할 수 없습니까?
일반 우편 게시물과 마찬가지로 안전합니다. 두 가지 방법 모두 하이재킹되고 데이터가 주입 될 수 있습니다. 열쇠는 서버 쪽 스크립트가 인증, 세션, 위조 방지 토큰 등과 함께 데이터를 검증하는 방법입니다.
사용자는 항상 원하는 데이터를 서버에 게시 할 수 있습니다. 당신은 자바 스크립트로 그것을 바꾸기 위해 아무 것도 할 수 없습니다. 괜찮은 브라우저를 사용하면 숨겨진 양식 필드를 쉽게 찾고 숨김을 없애고 원하는 것을 넣을 수 있습니다. 보다 숙련 된 사용자는 손으로 http 게시물을 작성하고 좋아하는 것을 보낼 수 있습니다. 보안은 클라이언트가 아닌 서버에서 수행해야합니다.
잘못된 FB ID를 보내지 못하도록 막을 방법이 없습니까? – st4ck0v3rfl0w
아니, 어떻게 든 자신의 사이트에 있는지 확인하기 위해 페이 스북을 확인 이외의. –
위의 댓글보기 : 사용자가 현재 세션에있는 것 이외의 잘못된 페이스 북 ID를 보내지 못하게 할 방법이 없습니까? – st4ck0v3rfl0w
암호화되지 않은 숨겨진 필드 안에 중요한 ID를 넣지 않겠습니다. 그 값을 세션 쿠키에 암호화하여 저장합니다. – redsquare