110,536
社区成员
发帖
与我相关
我的任务
分享如何限制某个页面只能从本站一个页面访问?
网站中一个页面a会向另一个页面b.apsx post数据,如何防止别人向b.aspx post伪造的数据?
原打算用Request.UrlReferrer.AbsoluteUri来判断请求来源,但Request.UrlReferrer是可以伪造的,有什么可靠的方法可以达到目的?
原打算用Request.UrlReferrer.AbsoluteUri来判断请求来源,但Request.UrlReferrer是可以伪造的,有什么可靠的方法可以达到目的?
...全文
请发表友善的回复…
发表回复
linhl 2009-09-21
- 打赏
- 举报
看来是没什么好的解决办法了,结帖吧
linhl 2009-09-18
- 打赏
- 举报
[Quote=引用 12 楼 xzq686 的回复:]
C# code
b.aspx页面的Page_Loadstring referUrl= Request.UrlReferrer.AbsoluteUri;if(referUrl.indexOf("你网站域名/目录/a.aspx")==-1)
{//非本站页面..可以返回..或关闭}
[/Quote]
Request.UrlReferrer是可以伪造的
C# code
b.aspx页面的Page_Loadstring referUrl= Request.UrlReferrer.AbsoluteUri;if(referUrl.indexOf("你网站域名/目录/a.aspx")==-1)
{//非本站页面..可以返回..或关闭}
[/Quote]
Request.UrlReferrer是可以伪造的
柳晛 2009-09-18
- 打赏
- 举报
[Quote=引用 10 楼 linhl 的回复:]
swf文件很容易反编译的
[/Quote]
flv
swf文件很容易反编译的
[/Quote]
flv
xzq686 2009-09-18
- 打赏
- 举报
a页面里是一个flash小游戏,在flash中向b.aspx post游戏成绩,想实现的是防止别人向b post假成绩,用验证码的方法是不行的,因为不能要求用户每玩一次都要输入验证码才记录成绩
b.aspx页面的Page_Load
string referUrl = Request.UrlReferrer.AbsoluteUri;
if(referUrl.indexOf("你网站域名/目录/a.aspx")==-1)
{
//非本站页面..可以返回..或关闭
}
柳晛 2009-09-18
- 打赏
- 举报
验证码。
linhl 2009-09-18
- 打赏
- 举报
swf文件很容易反编译的
游北亮 2009-09-18
- 打赏
- 举报
没做过Flash,不知道反汇编flash的难度
应该Flash也类似ActiveX吧,直接在那里面加密就好了
把用户名和成绩和时间组合后加密,提交到服务器上
服务器进行解密,对比时间,如果超过一定期限就不让保存
应该Flash也类似ActiveX吧,直接在那里面加密就好了
把用户名和成绩和时间组合后加密,提交到服务器上
服务器进行解密,对比时间,如果超过一定期限就不让保存
linhl 2009-09-18
- 打赏
- 举报
只是一个小游戏,让用户安装ActiveX也不好吧
游北亮 2009-09-18
- 打赏
- 举报
有一个方案,就是客户端放一ActiveX,里面对提交的数据加密
把加密内容提交,前提是加密算法不公开
因为不用ActiveX通过客户端代码,很容易知道你要加密的内容是哪些,以及加密后的结果很容易推算。
所以你的目的只能是加密提交了。
把加密内容提交,前提是加密算法不公开
因为不用ActiveX通过客户端代码,很容易知道你要加密的内容是哪些,以及加密后的结果很容易推算。
所以你的目的只能是加密提交了。
游北亮 2009-09-18
- 打赏
- 举报
楼上的,我已经在一楼说了Session了,不过用户完全可以先访问A页面,生成Session后,
提交时再自己伪造数据,提交给B页面
所以Session是行不通的
提交时再自己伪造数据,提交给B页面
所以Session是行不通的
注册失败 2009-09-18
- 打赏
- 举报
都是你自己的页面
办法还不是随便你想哦
思路+伪代码:
a页面加载的时候:
session["isA"] = true;
b页面判断
if( bool.Parse(Session["IsA"]))
{
xxxxx
}
反正就是用服务器的东西,别用客户端的东西,这样别人就不能伪造了
办法还不是随便你想哦
思路+伪代码:
a页面加载的时候:
session["isA"] = true;
b页面判断
if( bool.Parse(Session["IsA"]))
{
xxxxx
}
反正就是用服务器的东西,别用客户端的东西,这样别人就不能伪造了
linhl 2009-09-18
- 打赏
- 举报
a页面里是一个flash小游戏,在flash中向b.aspx post游戏成绩,想实现的是防止别人向b post假成绩,用验证码的方法是不行的,因为不能要求用户每玩一次都要输入验证码才记录成绩
mngzilin 2009-09-18
- 打赏
- 举报
很难彻底防止伪造,除非在浏览器侧启用用户证书做非对称加密。如果不进行加密,http 包是明码传输的,用session,cockie等办法都无法彻底防止伪造。楼主说的隐藏action,就是在html中隐藏了,用抓包工具还是可以看到Post的实际地址。
退而求其次,目前做的比较多的防止伪造的办法有如下几种:
第一: 让用户输入验证码,验证码通过图片展示,这种方法一般程序很难破解。
第二: 在url 或者 cockie里面加一个时间戳,这个时间戳的加密算法只有服务器知道,这种方法可以防止浏览器侧连续Post数据,也可以设置过期时间,超过一定时间后再Post就无效了。
退而求其次,目前做的比较多的防止伪造的办法有如下几种:
第一: 让用户输入验证码,验证码通过图片展示,这种方法一般程序很难破解。
第二: 在url 或者 cockie里面加一个时间戳,这个时间戳的加密算法只有服务器知道,这种方法可以防止浏览器侧连续Post数据,也可以设置过期时间,超过一定时间后再Post就无效了。
游北亮 2009-09-18
- 打赏
- 举报
没有什么好办法,只要用户提交的数据正确,你管它从哪里提交的呢?
游北亮 2009-09-18
- 打赏
- 举报
在a页面创建一个Session,在b页面读取后清除
jxwangjm 2009-09-18
- 打赏
- 举报
在a.aspx中直接把数据存在session中,而b.aspx中从session中读取数据
是否可行?
是否可行?
王向飞 2009-09-18
- 打赏
- 举报
看看 不说话
游北亮 2009-09-18
- 打赏
- 举报
REFERER可以伪造,随便一个攻击工具都可以修改
或者你用用HttpWebRequest,这个类就有个属性Referer可以直接设定
而Server_Name是取得当前引用页的,这个不能伪造,也没必要伪造,你本来就要提交到这个服务器上,还伪造个啥?
楼上说的更可笑,用MD5加密后,服务器拿来干吗用?MD5又不能解密
就算可以解密,客户端知道加密算法,知道要提交些什么数据,太容易了
我觉得很奇怪,很多人都是不懂装懂。
估计除了ActiveX加密,并保密加密算法,提交
应该没有好办法了吧
或者你用用HttpWebRequest,这个类就有个属性Referer可以直接设定
而Server_Name是取得当前引用页的,这个不能伪造,也没必要伪造,你本来就要提交到这个服务器上,还伪造个啥?
楼上说的更可笑,用MD5加密后,服务器拿来干吗用?MD5又不能解密
就算可以解密,客户端知道加密算法,知道要提交些什么数据,太容易了
我觉得很奇怪,很多人都是不懂装懂。
估计除了ActiveX加密,并保密加密算法,提交
应该没有好办法了吧
robin521 2009-09-18
- 打赏
- 举报
每次数据用MD5加密传送,
jerry_zuo 2009-09-18
- 打赏
- 举报
可以 在 两个页面分别用算法 进行 字符串 验证 一般 很难 破解~~
加载更多回复(3)
