在我的旅行中,我遇到了一些网址黑客攻击,并查看了我有时间查看的少数浏览器中的一些开发工具,这让我提出了这个问题。
是否有黑客或工具可以删除脚本化的 JavaScript 函数和/或允许用户填充自己的参数并运行函数?
当然,我并不是说如果您不始终过滤全局变量,注册全局变量会造成明显的安全漏洞;我也不是指基本上的表单注入(inject)黑客。
我确实使用了大量的 xmlhttprequest 帖子和分隔字符串,同时使用 php preg_match 作为基本字符,在任何输入到达服务器脚本之前,每个不同的帖子变量的基本字符都是不同的。注册全局变量 -> 关闭。不过,我想我正在寻找可以调整某些功能以使我更安全的东西。
IE.. 我不希望函数以工具所能达到的速度连续调用 1000 次,但如果某些事情是安全的,我不想浪费资源。
我提出这个问题不仅是出于安全原因,也是出于尺寸和优化的原因。
我认为数据包嗅探器/拦截器/发送器可能可以,但我不能 100% 确定。另外,我不确定是否需要如此大的程度来计算可能影响服务器性能的调用(如果无法完成)。 IE..在服务器上监视 xmlhttprequests。
//////////////编辑/////////
作为引用,我刚刚遇到的一个工具,.htaccess 文件能够根据查询中的内容进行重定向。我想它并不是万无一失的,只是众多工具中的一种。但是它可以防止 url 攻击。在我看来,当 apache 调用 .htaccess 文件停止成功捕获时的大部分加载时,它可以通过重定向来减少负载。 http://simonecarletti.com/blog/2009/01/apache-query-string-redirects .
最佳答案
因此,您需要问自己的第一件事是:攻击者在哪里以及攻击面是什么?用户始终能够访问所有 JavaScript,并且可以随心所欲地自由操作该 JavaScript ( SpiderMonkey )。用户可以随意拦截任何 HTTP 请求并按照自己的意愿修改此请求 ( burp )。在浏览器上运行的 JavaScript 函数决不会、也不会形成攻击面,而且永远不会。 没有人关心谁在调用 JS 函数,因为这根本不是一种可滥用的情况。
您需要问自己的真正安全问题是:“您的应用程序是否容易受到 Cross-Site Scripting? 的攻击”
关于php - 从书面脚本外部调用 JavaScript 函数是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17244054/