프로그램 개발 중의 몇 가 지 를 믿 지 마 세 요.

링크 의 예 는 스 크 립 트 공격 과 관련 된 내용 입 니 다.시간 이 있 는 분 들 은 클릭 하 셔 도 됩 니 다.1.Request.Query String 을 믿 지 마 세 요.asp 시대 에 이 문제 가 심각 하 다 고 믿 습 니 다.믿 지 않 습 니 다.인터넷 에서 asp 기업 역 을 몇 개 찾 아 보 세 요.이런 url"view.asp?id=xxx"를 찾 아"view.asp?id=xxx or 1=1"로 바 꾸 면 다른 것 을 볼 수 있 을 거 라 고 믿 습 니 다.net 에 도착 하면 드 물 겠 지만 지난번 에 CSDN 이 터 졌 다 는 사람 을 봤 습 니 다.간단 한 해결 방법 은 데 이 터 를 얻 을 때 데이터 형식 검증 이나 변환 을 하 는 것 이다.예 를 들 어 int ViewID=0;if(int.TryParse(Request.QueryString["ID"],out ViewID){/...}2.maxlength 를 믿 지 마 세 요: 때때로 우 리 는 클 라 이언 트 가 입력 한 특정한 값 이 일정한 길 이 를 초과 하지 않 는 다 고 생각 합 니 다.이 럴 때 input 의 maxlength 를 사용 할 수 있 지만 maxlength 는 100%이 값 의 길이 가 maxlength 를 초과 하지 않도록 보장 할 수 있 습 니까?를 무시 하고 정상 적 인 상황 에서 위 입력 상자 에 4 글자 만 입력 할 수 있 습 니 다.그러나 사용자 post 가 우리 에 게 준 데 이 터 는 반드시<=4 글자 일 까요?아래 코드 를 주소 표시 줄 Enter 에 복사 합 니 다. javascript:alert(window.c=function(){document.getElementsByTagName("input")[0].value="내 길이 에 4 글자 가 있 는 지 봐 라."}()[Ctrl+A 전체 주석:<a href="https://www.jb51.net/article/23421.htm" title="查看具体详情" rel="noreferrer noopener nofollow">引入外部Js需再刷新一下页面才能执行</a>]분명 한 것 은 maxlength 는 믿 을 수 없 는 것 입 니 다.간단 한 해결 방법 은 배경 코드 로 데이터 길 이 를 검증 하 는 것 입 니 다.string UserName=Request.QueryString["UserName"];if(!string.IsNullOrEmpty(Username)&&Username.length>x){/...오류 나 데이터 차단}3.Hidden 을 믿 지 마 세 요.가끔 은 프론트 페이지 에 정 보 를 저장 하고 다시 보 내 고 싶 지만 고객 에 게 이 정 보 를 보 여주 고 싶 지 않 습 니 다.그래서 우 리 는 데 이 터 를 hidden 에 넣 었 습 니 다.그 고객 이 데 이 터 를 제출 할 때...hidden 의 내용 은 정말 우리 가 틀 어 놓 은 내용 입 니까?<meta http-equiv="Content-Type" content="text/html; charset=gb 2312"/><title>Hidden 값 변경</title><script language="javascript"type="text/javascript">function ShowValue(){alert("Hidden Value 는:"+document.getElement ById("Type").value);}</script>사용자 이름:"Hidden 보기"를 누 르 면 원래 값 을 확인 하 십시오.정상 적 인 상황 에서 클 라 이언 트 가 제출 한 Type 의 값 은"Robot!"입 니 다.하지만 아래 코드 를 주소 표시 줄 에 복사 한 다음 Enter 를 누 르 고 Hidden 을 확인 하 세 요.<textarea style="width:600px;height:100px;line-height:20px;"> javascript:alert(window.c=function(){document.getElement ById("Type").value="나 는 로봇 이 아니다!"}()[Ctrl+A 전체 주석:<a href="https://www.jb51.net/article/23421.htm" title="查看具体详情" rel="noreferrer noopener nofollow">引入外部Js需再刷新一下页面才能执行</a>]이것 은 저도 좋 은 검증 방법 을 생각 하지 못 했 고 검증 해 야 한 다 는 특별한 수요 도 없 었 습 니 다.4.클 라 이언 트 검증 을 믿 지 마 세 요.예 를 들 어 2 와 3 중의 문제 입 니 다.제 클 라 이언 트 가 인증 을 추가 하면 괜 찮 지 않 겠 습 니까?그러나 클 라 이언 트 검증 도 안전 하지 않 습 니 다.우선,클 라 이언 트 가 스 크 립 트 를 사용 하지 않 으 면 클 라 이언 트 검증 은 완전히 효력 을 잃 습 니 다.또한 스 크 립 트 가 효과 적 인 상황 에서 스 크 립 트 검증 도 변경 할 수 있 습 니 다.<meta http-equiv="Content-Type" content="text/html; charset=gb 2312"/><title>덮어 쓰기 Submit 인증</title><script language="javascript"type="text/javascript">function ValidateForm(){if(document.getElement ById("UserName").value=="){alert("사용자 이름 이 비어 있 으 면 안 됩 니 다!");return false; } return true; } </script> <form action="" method="post" onsubmit="return ValidateForm();"> </form>정상 적 인 상황 입 니 다.제출 단 추 를 누 르 면 사용자 이름 이 비어 있 지 않 음 을 확인 하고 알림 을 팝 업 합 니 다.하지만 아래 코드 를 주소 표시 줄 에 복사 한 다음 Enter 를 누 르 고 제출 을 누 르 십시오.<textarea style="width:600px;height:100px;line-height:20px;"> javascript:alert(window.c=function(){document.getElementsByTagName("form")[0].onsubmit=function(){alert("나 는 데 이 터 를 검증 하지 않 을 거 야!");return true;}}()) [Ctrl+A 전체 주석:<a href="https://www.jb51.net/article/23421.htm" title="查看具体详情" rel="noreferrer noopener nofollow">引入外部Js需再刷新一下页面才能执行</a>]예전 에 QQ 공간 에서 이 방법 을 통 해 옐 로 우 다이아몬드 템 플 릿 을 무료 로 사용 할 수 있 었 는데 아직 있 는 지 모 르 겠 습 니 다.이것 은 좋 은 해결 방법 이 없어 서 백 스테이지 에서 다시 한 번 검증 할 수 밖 에 없다.5.편집 기 를 믿 지 마 세 요:어떤 때 는 프로젝트 에 간단 한 편집 기 를 사용 해 야 할 수도 있 습 니 다.그래서 우 리 는 일부 편집 기 를 찾 았 습 니 다.필요 하지 않 은 기능(예 를 들 어 원본 편집,그림 삽입 등)을 제거 하면 간단 한 편집기 가 됩 니 다.그러면 이런 편집기 에 무슨 문제 가 있 습 니까?<meta http-equiv="Content-Type" content="text/html; charset=gb 2312"/><title>제목 없 는 문서</title><script language="javascript"type="text/javascript">window.onload=function(){document.getElement ById("sampleEditor").contentWindow.document.designMode="on";}</script>진정한 편집 기 는 굵 고 기울어 지 는 기능 이 있 을 것 입 니 다.저 는 하지 않 겠 습 니 다.가장 원시 적 인 iframe 을 예 로 들 겠 습 니 다.<iframe frameborder="1" style="width:500px;height:200px;" id="SampleEditor"/>이 간단 한 편집기 가 원본 코드 를 보 는 기능 이 없 으 면 고객 은 정말 안의 내용 을 바 꿀 수 없 지 않 습 니까?다음 코드 를 주소 표시 줄 에 복사 하고 Enter;<textarea style="width:600px;height:100px;line-height:20px;"> javascript:alert(window.c=function(){document.getElementById("sampleEditor").contentWindow.document.body.innerHTML = '<img src="https://s1.md5.ltd/image/a4d79e4c85b15c724322144f2a92d3b0.gif"/>';}()) <span style="color:#FF0000;">사용자 가 안에 script 탭 을 삽입 해서 제출 하면?</span> <span style="font-weight:bold;">사실 더 쉬 운 방법 이 있 습 니 다.다른 페이지 에 가서 복사 한 다음 편집기 에 붙 여 넣 으 면 모든 것 이 옵 니 다.</span>[Ctrl+A 전체 선택:<a href="https://www.jb51.net/article/23421.htm" title="查看具体详情" rel="noreferrer noopener nofollow">引入外部Js需再刷新一下页面才能执行</a>]아직 좋 은 해결 방법 이 없습니다.이전에 script 라벨 을 걸 러 내 는 코드 를 찾 은 적 이 있 지만 완벽 하지 않 은 것 같 습 니 다.6.쿠키:사이트 에서 불가피 하 게 쿠키 가 사 용 될 수 있다 고 믿 지 마 세 요.하지만 주의 하지 않 으 면 쿠키 가 다른 사람의'쿠키'가 되 지 않도록 조심 하 세 요.<a href="http://img.jb51.net/online/demo0415/Cookie.asp" rel="noreferrer noopener nofollow">http://img.jb51.net/online/demo0415/Cookie.asp</a>쿠키 와 쿠키 를 쓰 는 js 방법 은 인터넷 에서 찾 을 수 있 고 구체 적 인 링크 도 찾 을 수 없습니다.해결 방법 은 쿠키 암호 화 인 것 같 습 니 다.(물론 암호 화 되 었 더 라 도 민감 한 데 이 터 를 쿠키 에 넣 지 마 세 요.)고수 들 이 다른 좋 은 방법 이 있 는 지 모 르 겠 습 니 다.7.Request.Url Referrer 를 믿 지 마 세 요.이 걸 로 요청 을 검증 하 는 친구 가 있다 면 이 물건 도 믿 을 수 없습니다.코드 보기;System.Net.HttpWebRequest request = System.Net.WebRequest.Create("https://www.jb51.net/") as System.Net.HttpWebRequest; request.Referer = "https://www.jb51.net/"; ... 그럼,이때 당신 이 얻 은 Url referrer 는?https://www.jb51.net/그러나 이 요 구 는 위 조 된 것 이다.8.사용 자 를 믿 지 마 세 요.사용 자 는 잠재 적 인 위협 입 니 다.클 라 이언 트 의 것 입 니 다.영원히 쉽게 믿 지 마 세 요.또한,select 태그 의 내용 도 믿 을 수 없습니다.여러분 이 손 을 써 보 세 요.마음대로 페이지 를 만 들 고 그 안에 select 를 넣 으 세 요.그리고:<pre><code><br/>javascript:alert(window.c=function(){var s=document.getElementsByTagName("select")[0];for(var x = 0; x < 100; x++){s.options[x]=new Option("选项" + x, x)}}()); <br/></code></pre>고수 의 아 낌 없 는 가르침 을 환영 합 니 다.<a href="http://xiazai.jb51.net/200904/yuanma/sample20090415.rar" rel="noreferrer noopener nofollow">示例代码下载</a> 。