典型的Web應(yīng)用程序用各種不同的形式處理用戶提交數(shù)據(jù)。一些類(lèi)型的輸入確認(rèn)可能并不適合所有的形式輸入。如果應(yīng)用程序服務(wù)器上生成的數(shù)據(jù)遭到攻擊或修改,并且使用標(biāo)準(zhǔn)的瀏覽器的用戶根本不可能進(jìn)行修改,那么既有可能是該用戶正企圖應(yīng)用程序的漏洞。
探查在些時(shí)候,應(yīng)用程序可能需要接受用戶提交的任意輸入。比如微博應(yīng)用戶程序可以建立一個(gè)主題為“攻擊WEB應(yīng)用程序”的微博。博文和評(píng)論可以合法包容所有討論的明確攻擊字符串。應(yīng)用程序可能需要將這些輸入保存在數(shù)據(jù)中,寫(xiě)入磁盤(pán),并以安全的方式向用戶顯示。不能僅僅因?yàn)檩斎肟此茞阂?,就拒絕接受輸入。
在其它情況下,對(duì)應(yīng)用程序可能會(huì)對(duì)一些特殊的輸入實(shí)行嚴(yán)格的檢查,應(yīng)用程序必須接受更廣泛的輸入。比如,提交個(gè)人信息頁(yè)面的地址字段可以包含字碼、空格、字母、等其它字符。但是也可以對(duì)這個(gè)字段實(shí)施有效的限制。
除了用戶通過(guò)瀏覽器界面提交的各種輸入外,一個(gè)典型的應(yīng)用程序還會(huì)收到大生量數(shù)據(jù),他們生成在服務(wù)器上,并傳送給客戶端以方便客戶端能夠在隨后的請(qǐng)求中將其返回給服務(wù)器。比如,一個(gè)參數(shù)可能必須包含一個(gè)特殊的已知值,或?yàn)槟撤N特殊的格式(如一個(gè)顧客的號(hào)碼)。在這些情況下,應(yīng)用程序拒絕該用戶提交的資料請(qǐng)求,并將事件記入文件中,以便隨后調(diào)查。
分享名稱(chēng):Web應(yīng)用程序處理用戶輸入的多樣性
轉(zhuǎn)載注明:http://m.newbst.com/news8/169508.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供虛擬主機(jī)、服務(wù)器托管、品牌網(wǎng)站制作、企業(yè)網(wǎng)站制作、面包屑導(dǎo)航、品牌網(wǎng)站設(shè)計(jì)
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源:
創(chuàng)新互聯(lián)