62,046
社区成员
发帖
与我相关
我的任务
分享关于asp和asp.net防止外部提交的提问
以前总是觉得用
在asp中用Request.ServerVariables("HTTP_REFERER")
在asp.net中用Request.UrlReferer
都能判断是否是外部提交的数据。
但是发现http的header竟然能伪造。于是上面的方法就没什么效果了。
于是想到要用网站的一个私钥以某种算法结合一个随机的变量得出一个token,在form里面传这个token值给接收页面来交验。这种方法在asp和asp.net估计都行的通。
后来又觉得每个接收参数的页面都要这样太麻烦了。
于是想到了asp.net的逻辑通常是写在某个button的OnClick事件中的,也就是说是基于事件来触发逻辑的,这样一来也就是说只要把逻辑写进事件中,asp.net页面就不存在外部提交的可能了,也就不用生成token来比对,再判断是否是外部提交了,但是asp不是基于事件来的,所以要避免外部提交的话,还是要用token来比对。
所以我觉得asp.net只要把逻辑写进某个button的OnClick事件的话,就可以避免该页面被外部提交了,也就是不用像asp那样来比对token了。
我这样理解可以吗?
在asp中用Request.ServerVariables("HTTP_REFERER")
在asp.net中用Request.UrlReferer
都能判断是否是外部提交的数据。
但是发现http的header竟然能伪造。于是上面的方法就没什么效果了。
于是想到要用网站的一个私钥以某种算法结合一个随机的变量得出一个token,在form里面传这个token值给接收页面来交验。这种方法在asp和asp.net估计都行的通。
后来又觉得每个接收参数的页面都要这样太麻烦了。
于是想到了asp.net的逻辑通常是写在某个button的OnClick事件中的,也就是说是基于事件来触发逻辑的,这样一来也就是说只要把逻辑写进事件中,asp.net页面就不存在外部提交的可能了,也就不用生成token来比对,再判断是否是外部提交了,但是asp不是基于事件来的,所以要避免外部提交的话,还是要用token来比对。
所以我觉得asp.net只要把逻辑写进某个button的OnClick事件的话,就可以避免该页面被外部提交了,也就是不用像asp那样来比对token了。
我这样理解可以吗?
...全文
请发表友善的回复…
发表回复
waveback 2010-03-28
- 打赏
- 举报
针对一般的浏览者:不要刻意去把前台页面做得完美,不可能、也没必要
针对刻意的攻击者:最好的防范不是检测从哪里提交数据,而是做好后台的各项数据检测程序,如果真是有必要,可以考虑用session做一个自定义的暗验证,但不要用cookies,为什么只能用session这个道理我相信也不用多说了!
针对刻意的攻击者:最好的防范不是检测从哪里提交数据,而是做好后台的各项数据检测程序,如果真是有必要,可以考虑用session做一个自定义的暗验证,但不要用cookies,为什么只能用session这个道理我相信也不用多说了!
minhua1983 2008-07-28
- 打赏
- 举报
既然通过web控件的OnClick事件都能被伪造了,那么像CSDN这样的网站是怎么防止外部提交的?
类似我说的用私钥生成一个token值,在接受页面来验证。
我猜想CSDN用的是NEWID()
我测试发帖的链接是https://forum.csdn.net/PointForum/Forum/PostTopic.aspx?forumID=3036657c-277c-476c-982d-75f154e09050
如果我确认提交了,就生成了3036657c-277c-476c-982d-75f154e09050.html。
那么我猜想CSDN验证外部提交的方法就是用一个私钥结合这个NEWID,经过某种算法,得出一个值在form里面提交,然后在接受页面来交验。
类似我说的用私钥生成一个token值,在接受页面来验证。
我猜想CSDN用的是NEWID()
我测试发帖的链接是https://forum.csdn.net/PointForum/Forum/PostTopic.aspx?forumID=3036657c-277c-476c-982d-75f154e09050
如果我确认提交了,就生成了3036657c-277c-476c-982d-75f154e09050.html。
那么我猜想CSDN验证外部提交的方法就是用一个私钥结合这个NEWID,经过某种算法,得出一个值在form里面提交,然后在接受页面来交验。
zld_baggio 2008-07-28
- 打赏
- 举报
[Quote=引用 2 楼 kbryant 的回复:]
友情up
[/Quote]
友情up
[/Quote]
color2002 2008-07-28
- 打赏
- 举报
我是在表中建个模拟字段,定期删除非正常页面提交的数据
xhan2000 2008-07-28
- 打赏
- 举报
用webbrowser+mshtml可以模仿任何操作
minhua1983 2008-07-28
- 打赏
- 举报
说真的~我真不知道web控件Button的服务器端的OnClick事件都能伪造.
much0726 2008-07-28
- 打赏
- 举报
[Quote=引用 2 楼 kbryant 的回复:]
友情up
[/Quote]
友情up
[/Quote]
xhan2000 2008-07-28
- 打赏
- 举报
我做个很多网站的数据抓取,基本上不好防
httpwebrequest不好用还有webbrowser控件
httpwebrequest不好用还有webbrowser控件
xyzvalue 2008-07-28
- 打赏
- 举报
看看有没有新鲜的回答,关注
suyiming 2008-07-28
- 打赏
- 举报
没试过 顶顶木白
shoushii 2008-07-28
- 打赏
- 举报
学习中……
家鸣 2008-07-28
- 打赏
- 举报
既然你能认识到http的header能伪造,那么也应该知道button的OnClick事件也可以伪造。 有防就有攻,也就这样才推动着软件技术的进步,所以不必太刻意追求完美了。
kbryant 2008-07-28
- 打赏
- 举报
友情up
cpp2017 2008-07-28
- 打赏
- 举报
外部提交是没办法避免的.关键是在服务器端做好相应的控制.
用户可先请求你的数据,取得viewsate,修改某些提交数据,然后再提交给你.后台一样认为是浏览器正常发送.
用户可先请求你的数据,取得viewsate,修改某些提交数据,然后再提交给你.后台一样认为是浏览器正常发送.
minhua1983 2008-07-28
- 打赏
- 举报
我自己up
