如果浏览器请求返回302的资源X并使用get中的某些参数将浏览器重定向到Y,有没有办法在javascript中或在浏览器中手动更改此参数?
基本上是这样的:
是否可以在浏览器发送之前以任何方式更改value1?
答案 0 :(得分:1)
是的,当然,任何最终用户都可以使用Burp Suite拦截代理等工具在步骤3更改请求网址。
此外,如果请求是通过普通HTTP而不是HTTPS,那么Man-In-The-Middle可以在步骤3中更改请求URL。
为防止出现第一种情况,请不要相信客户可以获得改进的任何优势。
要防止该部分,请使用HTTPS和HSTS策略来防止降级。