我发现通过“检查元素”更改css值,可以方便地使用谷歌浏览器设置我的网页样式。
很多人可能已经知道这一点,但我最近发现我也可以编辑整个html例如(将div标记更改为a标记,添加内联javascript,更改表单值等等。)
我做了一个简单的测试:
<?php
if(isset($_POST['select'])) echo $_POST['select'];
?>
<form enctype="application/x-www-form-urlencoded" action="selecttest.php" method="post">
<select name="select">
<option value="100">100</option>
</select>
<input type="submit" value="submit">
</form>
当我点击提交时,回复100。我通过谷歌浏览器something点击提交将其值更改为inspect element,然后回显something。我尝试将<a href="http://www.google.com">100</a>作为值。当我点击提交时,回显一个超链接100
这个功能不危险吗?我现在无法想象任何非常危险的东西,因为我还是编程的新手,但我只是想到具有多年经验的真正的黑帽黑客可以做多少自由。现在我只是想'过滤掉所有用户输入和你的安全'。
所以我的问题是,即使您过滤掉所有用户输入,这个功能是否存在真正的实际威胁?
答案 0 :(得分:5)
你不应该过多担心DevTools,因为用户浏览器的任何更改都是本地的。您应该担心任何传入的网络数据,例如GET或POST请求的内容。
作为程序员,您应该始终验证从浏览器获得的输入,确保它在您预期的值范围内。