作者hirabbitt (兔子)
看板Ajax
標題[問題] 繞過JS
時間Mon Jun 14 20:09:01 2010
通常我們會使用一些JS
來檢驗使用者是否有按照規定來填表格
但是如果使用者從原始碼之中
看透表格名稱與action目標
自己寫一個一模一樣的form來執行
不就可以繞過js的檢查了?
在有session的網站
也只要先登入讓瀏覽器吃過session
再執行我們要偷渡的網頁就好了
有沒有什麼方法可以防止這種繞過JS的行為呢?
--
◤ __ \__◣
◢◤◢◤ ψhirabbitt
◢ ◤ ◢███◣
◢███◣
和妳的約定 █████
█████ 不變心的約定
██
●█
● █▇███
是變心的約定 ██
╱╲ ●◥█████◣● 是我和自己的約定
◥
╱█
╱╱ ● ◥████ ˇ
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 163.13.127.91
1F:→ Kelunyang:1.你不應該相信前端的檢查,後端本來就應該有對應 06/14 21:16
2F:→ Kelunyang:防止跨域登入還沒想道該怎麼辦XD 06/14 21:17
3F:→ j100002ben:只要是客戶端傳過來的東西一切不可信任..... 06/14 22:01
4F:→ TonyQ:可以啊,從Server 檢查他資料有沒有填寫齊全就好。 06/14 22:06
5F:→ Kelunyang:可是照他的說法,我們是不是真的無法檢查這個呼叫是不是 06/14 23:28
6F:→ Kelunyang:來自於自己的域名啊,剛剛想了一下沒想到怎麼處理@@" 06/14 23:28
7F:→ TonyQ:來不來自自己的域名很重要嗎?.? 06/14 23:39
8F:→ TonyQ:重點是資料過來對不對而已啊 06/14 23:40
9F:→ TonyQ:要檢查來源網址可以查refer,這個是純js無法造假的, 06/14 23:40
10F:→ TonyQ:不過一般爬蟲或機器人要造假refer倒是很容易。 06/14 23:41
11F:→ grence:CAPTCHA之類的?產生表單送至client端前做個記號 06/14 23:44
12F:推 IsfunHDS:資料是對的 但是是假的 怎麼辦? 06/15 00:17
13F:→ chrisQQ:上面的這種情況… 沒可能避免吧? 06/15 00:30
14F:→ hirabbitt:剛剛查了一下php referer 感覺很難假造啊0.0 06/15 08:07
15F:→ hirabbitt:爬蟲或機器人是怎麼做的? 06/15 08:08
16F:→ hirabbitt:CAPTCHA的答案也是存在後端吧? 06/15 08:22
17F:→ hirabbitt:資料是對的 但是是假的 這句真經典XDDD 06/15 08:26
18F:→ TonyQ:refer 是 client browser 送給 server的header... 06/15 10:33
19F:→ TonyQ:愛怎麼寫就怎麼寫...... 06/15 10:33
20F:→ hirabbitt:喔? 我試試 06/15 11:00
21F:→ wxyy:提供一個 Firefox add-ons 可以修改 referer: RefControl 06/15 11:07
22F:→ wxyy:我唯一用途是用在解除 wretch 擋外連圖片限制....... 06/15 11:09
23F:→ chrisQQ:可以改 referer 的有 curl… 其他很多語言也都支援~ 06/15 12:53
24F:→ kenzou:不需要改啊 就header裡assign一個referer就好,一般的 06/15 13:58
25F:→ kenzou:http request library referer default都是blank 06/15 13:58
26F:→ hirabbitt:所以根本不需要爬蟲與機器人嘛0.0> 06/17 16:34