Zobudiť sa! Pravdepodobne nikdy nekontrolujete
Apríl 2024
Overenie údajov, či kontrola vstupu používateľa (zvyčajne z formulárov) obsahuje informácie, ktoré potrebujete a očakávate v správnom formáte, je rozhodujúce pre zákaznícky servis aj bezpečnosť. Je to tiež bežné, možno najbežnejšie použitie pre JavaScript. Správne hotové, overenie údajov môže zlepšiť skúsenosti zákazníkov a zvýšiť bezpečnosť vašej firmy. Nesprávne, overenie údajov môže sťažiť životy vašich zákazníkov a nechať vaše stránky otvorené útokom.
Začnime pri pohľade na skúsenosti zákazníkov. Predstavte si, že vyplníte formulár a urobíte chybu alebo zabudnete uviesť niektoré z požadovaných informácií. Čo je pre vás užitočnejšie, kontextové okno s potenciálne dlhým zoznamom chýb, ako je tento:
Alebo je užitočnejšie, ak sa rozloženie stránky posúva, aby sa vysvetlili chyby a zvýraznili polia, ktoré je potrebné zmeniť, napríklad:
JavaScript sa dá použiť na poskytnutie oboch typov spätnej väzby, ale druhý z nich je jednoznačne oveľa priaznivejší pre zákazníka.
Niektorí ľudia by teraz mohli povedať: „Potvrdzujeme však bezpečnosť, akýkoľvek prínos pre zákazníka je iba vedľajší účinok.“ Zabezpečenie je dôležitým dôvodom na overenie údajov, ale overenie údajov v prehliadači je nesprávnym zabezpečením. Nemáte kontrolu nad prehliadačom a keďže skript JavaScript beží v prehliadači, útočník môže obísť vaše overenie založené na skripte JavaScript a odoslať všetko, čo chce. Bežná mylná predstava je, že ak používate metódu POST na odoslanie údajov z formulára v tele správy na webový server, nie ako súčasť adresy URL, ľudia nemôžu zmeniť obsah polí formulára. Je pravda, že na rozdiel od služby GET musíte urobiť viac ako upraviť webovú adresu na paneli s nástrojmi prehliadača, aby ste mohli zmeniť údaje z formulára odoslaného pomocou metódy POST; ale stále je to ľahké. Pri audite webových aplikácií používam nástroj s názvom WebScarab, ktorý mi umožňuje ľahko meniť obsah polí formulára. Obrázok nižšie zobrazuje obrazovku WebScarab, kde môžete upraviť obsah polí formulára po validácii JavaScriptu a pred jeho odoslaním na server.
Overenie JavaScriptu sa teda týka chýb, ktoré urobili čestní ľudia - vaši zákazníci - a ktoré sa používajú v skriptoch na stránke. Musíte tiež overiť všetky údaje odoslané na váš server na vašom serveri.
web Scarab
Vysvetlenie metód odovzdávania formulárov GET a POST zo školy W3
Začnime pri pohľade na skúsenosti zákazníkov. Predstavte si, že vyplníte formulár a urobíte chybu alebo zabudnete uviesť niektoré z požadovaných informácií. Čo je pre vás užitočnejšie, kontextové okno s potenciálne dlhým zoznamom chýb, ako je tento:
Alebo je užitočnejšie, ak sa rozloženie stránky posúva, aby sa vysvetlili chyby a zvýraznili polia, ktoré je potrebné zmeniť, napríklad:
JavaScript sa dá použiť na poskytnutie oboch typov spätnej väzby, ale druhý z nich je jednoznačne oveľa priaznivejší pre zákazníka.
Niektorí ľudia by teraz mohli povedať: „Potvrdzujeme však bezpečnosť, akýkoľvek prínos pre zákazníka je iba vedľajší účinok.“ Zabezpečenie je dôležitým dôvodom na overenie údajov, ale overenie údajov v prehliadači je nesprávnym zabezpečením. Nemáte kontrolu nad prehliadačom a keďže skript JavaScript beží v prehliadači, útočník môže obísť vaše overenie založené na skripte JavaScript a odoslať všetko, čo chce. Bežná mylná predstava je, že ak používate metódu POST na odoslanie údajov z formulára v tele správy na webový server, nie ako súčasť adresy URL, ľudia nemôžu zmeniť obsah polí formulára. Je pravda, že na rozdiel od služby GET musíte urobiť viac ako upraviť webovú adresu na paneli s nástrojmi prehliadača, aby ste mohli zmeniť údaje z formulára odoslaného pomocou metódy POST; ale stále je to ľahké. Pri audite webových aplikácií používam nástroj s názvom WebScarab, ktorý mi umožňuje ľahko meniť obsah polí formulára. Obrázok nižšie zobrazuje obrazovku WebScarab, kde môžete upraviť obsah polí formulára po validácii JavaScriptu a pred jeho odoslaním na server.
Overenie JavaScriptu sa teda týka chýb, ktoré urobili čestní ľudia - vaši zákazníci - a ktoré sa používajú v skriptoch na stránke. Musíte tiež overiť všetky údaje odoslané na váš server na vašom serveri.
Referencie
web Scarab
Vysvetlenie metód odovzdávania formulárov GET a POST zo školy W3
Video Návody: Outlook to Gmail Migration Tool | Import Outlook Emails, Contacts, Calendar to Gmail (Apríl 2024).
Súvisiace Články
Baldurova brána je RPG zábava
Baldurova brána je klasická RPG, ktorá priniesla množstvo pokračovaní a napodobňovateľov. Originál je stále zábavná hra, a to aj po niekoľkých rokoch. Baldurova brána bola skutočne prvou hrou, ktorá...
Spustiť nový dokument vo formáte Flash CS6
Po otvorení programu Flash CS6 vás privíta úvodná obrazovka, na ktorej máte niekoľko možností vrátane začatia nového projektu. O úvodnej obrazovke sme diskutovali v predchádzajúcom návode. Teraz, keď...
O Autorovi
Chow Yuan
Mladý Talent Žurnalistiky. Chef. Osoba Zodpovedná A Dole Na Zem.
Populárne Príspevky
-
-
Yogas Chitta Vritti Nirodha
Apríl 2024
-
Januárový denník vyzve ~ Wks 3 a 4
Apríl 2024
