iFrame - это риск для безопасности, имеющий детали в URL?
компания, я не буду упоминать о желании заполнить iFrame URL-адресом, который будет содержать информацию о пользователе. Эта информация будет использоваться для предварительного заполнения формы в iFrame. Является ли это угрозой безопасности, поскольку детали могут быть просмотрены в источнике. Подробности - фамилия, адрес и т.д. Сайт использует SSL по всему... если это помогает
Здесь URL:
https://moomooooo/dd.ehtml?user_id=5876745
&fname=vghfhfh
&lname=fhfghf
&title=MR
&gender=M
&dateOfBirth=03
&monthOfBirth=10
&yearOfBirth=1946
&housenum=233
&street=fghfhfghfg
&town=fhfghfgh
&postcode=S5g%207r4
&yearsAtAddress=07
&[email protected]
&phone=447545555577540555721
-
0Можете ли вы использовать POST вместо GET? Facebook использует POST для отправки информации о пользователях в iFrames. У них есть HTML-форма на внешней странице с target = "iframename", которая отправляется с помощью JavaScript при загрузке страницы.Reeno
2 ответа
Если вы используете HTTPS, параметры URL будут зашифрованы так, что теоретически никто не сможет их увидеть. Это говорит о том, что вам лучше открыть iframe с URL-адресом, используя идентификатор или токен, и пусть iframe загружает его надлежащий контент во время его инициализации, никогда не бывает хорошо хранить конфиденциальную информацию в URL-адресе (последний может быть сохранен в истории браузера)
-
1URL-адреса также будут храниться по умолчанию в журналах сервера, поэтому сгенерированный токеном серверный путь был бы подходящим вариантом.
Этот способ передачи параметров не является риском как таковым, но это позволяет злоумышленнику пройти путь к множеству векторов атаки для тестирования.
Атаки, которые я попробовал бы, - это Cross Site scripting (выполнение JS-кода на машине-жертве), доступ к другой пользовательской информации, SQL Injection, SSL-шифрование и обнюхание трафика жертв, получающего эту информацию, просто чтобы назвать несколько.
Моя рекомендация заключается в том, что вы либо передаете ее в своей СЕССИИ каким-то образом, заполняете эти поля в базе данных, чтобы вы обращались к ним через хэш или, по крайней мере, передавали ее через POST.
-
0Передача через POST не обеспечивает магической защиты от внедрения XSS и SQL.
-
0Конечно, он не защищает от XSS и SQL-инъекций, я этого не говорил. Вот почему я сказал "по крайней мере"
Ещё вопросы
- 0Компиляция библиотек Boost C ++ в проекте VS2012
- 0Как показать Gmail вставленные изображения на моей веб-странице
- 0JQuery выберите раскрывающийся список выбранного значения
- 1Как сохранить цветовую шкалу d3 с разрывом и повторным соединением ссылок
- 0jquery fadein () вызывается после завершения всех транзакций функции jquery?
- 1Выражение Linq из Lambda: укажите параметр явно
- 1Составить 2d массив списка точек
- 0jQuery не работает в .load ()
- 0перемещение приложения php на локальный сервер
- 0Адаптивная галерея с изображениями и YouTube встраивает соотношение сторон
- 0Android с PHP веб-сервисом
- 0Когда я изменяю значение ввода, нажатие на кнопку $ bindTo не работает firebase
- 1Как вы конвертируете несколько вложенных циклов в лямбду или linq, если у вас сложная структура объекта?
- 1Пользовательский диктант с хешируемыми ключами не может обрабатывать рекурсивные структуры
- 0ключ возврата => пара значений массива с циклом PHP foreach
- 1Отображение всего пути каждого листа на дереве
- 1документация sikuli 1.0.2 и ScreenRegion
- 1аргументы во Фрагменте все еще нулевые
- 1Удалить в Java?
- 0Мой запрос на выборку возвращает 0, хотя у меня есть значения в моей базе данных
- 1Модификация LiveDataCallAdapter не вызывает функцию адаптации (вызов)
- 0C ++ - Использование ofstream для создания файла в другом каталоге?
- 1Дочерний элемент без корневого элемента в Java
- 0Как правильно пропинговать любой сайт с помощью angularjs [дубликата]
- 1Скачать холст в PNG на черном фоне
- 0Подсчет вхождений различных значений при возврате различных значений
- 0Я хочу сохранить дату в базе данных, но при отправке формы сохраняет дату как 1970-01-01
- 0Файл блокировки Windows C ++ в памяти
- 0Разница между SELECT COUNT (*) и SELECT true при поиске конкретной строки в таблице миллиардов строк
- 0mysql 0000-00-00 ошибка обновления
- 0Элементы управления JQuery UI не работают после загрузки jquery.js после jquery.ui.js
- 0JQuery Dropdown с помощью JQuery Dummy
- 0Перспектива CSS3 не применяется до завершения анимации
- 1Разделить или объединить действия по дате
- 1Почему моя программа возвращает ошибку Google Sign in 12500?
- 1Использование нескольких регулярных выражений в C # web crawler [duplicate]
- 0Доступ к защищенным статическим членам суперкласса подклассами в C ++
- 0JQUERY / PLUGIN вызывают функцию извне / аргументы
- 0CSS3 переход в списке игнорируется
- 0Я не могу опустить аудио элемент HTML5 / CSS3
- 0Можно ли найти все посещенные ссылки в браузере?
- 1Сортировка нескольких массивов по элементам поэлементно
- 0Как отсортировать записи по полю отношений, используя столбец полей отношений в Doctrine?
- 0Показать всех пользователей всех подразделений в активном каталоге, используя adLDAP?
- 0Как сделать sqlsrv_query в модели? Как вызвать соединение с базой данных внутри модели?
- 1Python конвертирование из c # Расчет CRC8 из кадра 4/5 байт
- 1Как проверить, соответствует ли имя строки в dataframe имени столбца
- 0Как связать событие клика в угловых JS с помощью requirejs?
- 0Застрял с Flexslider - не показывает
- 1Число больше 9 начинается сверху и остается там
