ドアに注意 - クライアント側のデータ送信 (10) - 安全でない HTML が無効になっている Elements_html/css_WEB-ITnose

まず最初に、この記事は純粋にビジョンと本当の知識のない小規模な開発者の無知な意見であり、Web システムのセキュリティの参考のみであることを述べておく必要があります。

1. 簡単な説明

話を続けますと、ある日、プロダクト マネージャーがプロモーションを実施する計画を立てました。ユーザーは、たまごクーポンを最大 1 回のみ使用できます。
開発者はシステムに変更や調整を加える必要があります。
伝統産業におけるインターネット電子商取引のシナリオを考えてみましょう:
プロダクトマネージャー: 変化を急いで、急いで、急いで活動を開始してください
運用保守マネージャー: バージョンアップ、オンライン評価レポートの提出、リスクテストレポートの提出、システム テスト レポート、担当リーダーが書類に署名...
開発者 A: くそー、朝の 9 時から夜の 9 時まで働いているのに、たくさんのレポートを書かなければなりません。そのような良い方法を考えてください...
開発者 B: HTML フォームに制限を設け、1 回の購入後に無効にします。
開発者 A: これは良いアイデアです。HTML が変更されている限り、それはカウントされません。バージョンアップ;
開発マネージャー: 開発を急いでください;
… (要素を無効にするために HTML を使用してください)
テストは完了しました。使用後は、卵クーポンは 1 回だけ使用できます。そしてもう二度と使うことはできません。
開発マネージャー: オンラインで送信
…

2. HTML を使用して要素を無効にする

ページを一度使用すると、購入を確認するボタンがグレー表示になります。

うわー

どうクリックしても、このボタンは灰色です。

3. 攻撃を受けています

うっかり、また攻撃を受けました…
1. プロキシ サーバーを使用して傍受し、変更するなど、最も簡単な方法では、disabled=false を直接設定するか、この属性を削除します。たとえば、このページを保持し、要素の検査機能を使用して、disabled=true を見つけます。この方法で、検証は無効になります。楽しい。 。

4. HTML での要素の無効化について考える

1. 要素の無効化は現在ではあまり使用されていないように見えますが、サーバーがクライアントと同じか、さらに厳密な確認メカニズムを採用している限り、この種のアプリケーションはさらに多くなるでしょう。攻撃が難しい;

2 、ユーザーの入力によってさまざまな問題が発生する可能性があるため、この方法はユーザーの意図しないエラーを除外し、ネットワーク トラフィックとサーバーの負荷を軽減できるため、引き続きこの方法を使用する必要があります。