-1
添加安全问题,以便用户在超过最大尝试次数时可以重置密码。对身份验证机制使用隐藏字段这样做不好吗?用户可以编辑隐藏字段吗?
<input type="hidden" name="securityAnswered" value=true>
<input type="hidden" name="exceededAttempts" value=true>
用户可以从客户端进入并编辑这些隐藏字段吗?
A
回答
4
用户可以从客户端进入并编辑这些隐藏字段吗?
当然!客户端上的任何内容都可以编辑。你不能阻止用户这样做。
您必须记住,客户端可以随时向服务器发布任何内容。当然
+0
好吧,那么将另一种方式将此信息从表单发送到服务器? – rtd353
+1
@ rtd353验证应该在服务器上完成。没有其他办法:客户端发布数据,服务器接收并**验证**。 –
+0
这是真的,但我只想补充一点,如果你真的想在客户端保存数据,你仍然可以使用安全会话。 –
0
是的,任何一个都可以通过点击ctrl+maj+i
0
改变是,渗透测试人员做这使用拦截代理,如打嗝或将清除所有的时间。
https://portswigger.net/burp/proxy.html https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
有修改这类数据,包括浏览器的开发者工具的许多其他方式。
相关问题
- 1. 编辑可见性隐藏的字段
- 2. 我可以向轨道3隐藏字段添加逻辑吗?
- 3. cck隐藏字段,填充编辑用户
- 4. SilverStripe内嵌编辑/隐藏字段值
- 5. 我可以隐藏/禁用Settings.bundle中的字段吗?
- 6. 我可以用隐藏的字段替换ViewState吗?
- 7. 删除/隐藏用户名字段在Django admin编辑用户表格
- 8. 用户可以复制隐藏的字段数据?
- 9. 可以要求django隐藏字段?
- 10. 我们可以只读一个隐藏字段吗
- 11. 在窗体中不使用ID隐藏字段进行编辑?
- 12. 如何使用jquery和textarea编辑隐藏的输入字段?
- 13. 如何使用编辑器隐藏主键输入字段
- 14. 可以由管理员编辑的用户字段?
- 15. 现在该剪辑已被弃用,可以隐藏内容吗?
- 16. 如何隐藏Drupal中“用户编辑”表单上的某些字段?
- 17. Django管理员 - 如何隐藏用户编辑中的一些字段?
- 18. 如何在编辑来自其他用户的评论时隐藏Fivestar字段?
- 19. Odoo9为简单用户隐藏字段
- 20. 可以用CSS隐藏微数据吗?
- 21. Pyserial可以使用隐藏设备吗?
- 22. ios NSUserDefaults存储用户名。用户可以编辑这个吗?
- 23. 您可以并排放置两个编辑字段吗?
- 24. 隐藏字段
- 25. 隐藏字段
- 26. 隐藏字段
- 27. Show vs ShowDialog。对话框可以被用户隐藏吗?
- 28. 用户点击后可以隐藏admob横幅吗?
- 29. 我们可以隐藏用户的javascript加载吗?
- 30. 你可以在phpMyAdmin中隐藏MySQL用户的表吗?
如果您使用的是谷歌浏览器或Firefox,只需右键单击并选择检查元素项目,然后就可以更改客户端事物的值 –
还有其他一些程序可以执行此操作,如萤火虫, ... –
在您的控制台中,执行:'document.querySelector(“input [name = securityAnswered]”)。value =“wibble”' – Tibrogargan