在Google Inspector中更改HTML

时间:2012-09-19 18:30:17

标签: security google-chrome web-inspector

我知道可以打开Goog​​le Inspect Element并更改任何给定网站的HTML,CSS或其他内容。

我的问题是,这真的不是一个安全威胁吗?或者至少对您网站的完整性构成威胁。假设您有一个用PHP完成的网站,并且在脚本中您希望从表单发布POST,但是有人在Inspect Element中打开了您的网站,并将表单更改为GET。您的网站无法正常运作,是吗?

我不得不想象一些黑客流氓流氓可能会对此造成一些伤害,不是吗?我自己并不苛刻,所以我不知道他们能做什么,但我必须想象最糟糕的事情。

这是开发网站时我们应该考虑的另一件事吗?人们如何改变HTML?我的意思是,我理解需要喜欢剥离标签以及所有这些以保护您的网站免受恶意用户输入,但不得不担心他们如何才能真正改变他们眼前的网站是有点荒谬的。

思想?

1 个答案:

答案 0 :(得分:1)

不,这从不是一种安全威胁。没有丝毫。真正的黑客将使用BURP(或类似的代理)来利用糟糕的Web应用程序,这通常比修改JavaScript的HTML更容易。

能够修改客户端脚本是显而易见的,这不是威胁。只有当一个天真的开发人员依赖这些控件来提高安全性时才会创建威胁,在这个行业中我们称之为CWE-602违规。您永远不能信任客户端,这是Web应用程序安全性的基础。 所有与安全相关的控件必须是服务器端。