我们有表格页面,其中大部分字段都是必需的。我们使用JS来验证在转发到后端php应用程序之前输入的数据
这是我们使用的表单标记
<form name="order" method="post" action="http://company.com/config/_process.php?" id="order" class="order">
“order”并使用JQuery库验证输入:
$(document).ready(function(){
$('#order').formValidation({
....
.....
});
如果未输入必填字段,则会向用户显示“警报”。这已经工作多年了。但突然之间有人正在攻击我们的网站并进入一些领域并通过JQuery验证。
我已经包括检查JS是否已经被填充(“<noscript>”),如果没有,那么不要渲染页面,但他们也已经过了这个。
不确定我缺少什么,但是如何使用表单/操作调用PHP应用程序并通过JS?查看日志时,引荐来源是着陆页
说着陆页是:www.ourlandign.com/index.php(表单页面) 表格/行动:http://company.com/config/_process.php
他们从“www.outlanding.com/index.php
进入http://company.com/config/_process.php如何做到这一点? 感谢
答案 0 :(得分:0)
客户端验证适用于普通用户。如果恶意用户想要绕过脚本,那么他可以从他们的表单或任何其他程序发布您的php页面。要处理请求,您必须添加一些服务器验证。我是.NET开发人员,在asp.net表单中有防伪标记。您可以在表单中使用类似的伪造令牌或任何类型的验证码,并使用会话变量作为验证码。希望这会有所帮助。
答案 1 :(得分:-1)
当机器人抓取<form>标签的HTML并根据表单输入名称盲目提交HTTP POST请求时,这很容易发生。除了确保你的php表单后处理程序脚本正常处理它之外,没有办法防范它。