所以我可以使用 f12 在浏览器中调用编辑器并更正网站上的某些内容。例如,有一个表单,在同一个页面(在浏览器中下载到计算机)上,它被检查,比如说,使用 JS 进行 SQL 注入。
如果一切正常,则将其发送到服务器。是否可以通过 f12 删除带有检查的部分来更改脚本?那么你可以很容易地向服务器发送一个欺诈脚本,对吧?还是无法更改页面上的脚本并提交错误的值?
我的意思是:是否有必要在服务器上进行另一次检查,还是在页面上编写一个检查脚本就足够了?如果数据被发送到另一个我无法控制的资源(在我的例子中是 Facebook 业务),那么我必须确保检查那里的变量是否存在攻击者的脚本?
如果没有检查(在资源上),那么我必须先将数据发送到服务器,检查它,如果一切正常,然后将其从服务器发送到资源,对吗?
有必要检查传入服务器的数据。攻击者不需要编辑页面的源代码,因为可以从客户端计算机(或任何其他计算机)发送完全虚假的请求。客户端数据验证更加万无一失。有很多选项可以保护您的应用程序和数据库(例如,使用 CRSF 令牌),不难找到,但要弄清楚 - 在某种程度上,是的。并且不要担心 Facebook 的安全性——如果他们没有在他们的服务器上提供保护,那就是他们的问题。