Web应用程序处理用户输入的多样性
发布时间:2014/6/12 22:05:07 |
浏览次数: | 来源:深圳市方与圆网络科技有限公司
典型的Web应用程序用各种不同的形式处理用户提交数据。一些类型的输入确认可能并不适合所有的形式输入。如果应用程序服务器上生成的数据遭到攻击或修改,并且使用标准的浏览器的用户根本不可能进行修改,那么既有可能是该用户正企图应用程序的漏洞。
探查在些时候,应用程序可能需要接受用户提交的任意输入。比如微博应用户程序可以建立一个主题为“攻击WEB应用程序”的微博。博文和评论可以合法包容所有讨论的明确攻击字符串。应用程序可能需要将这些输入保存在数据中,写入磁盘,并以安全的方式向用户显示。不能仅仅因为输入看似恶意,就拒绝接受输入。
在其它情况下,对应用程序可能会对一些特殊的输入实行严格的检查,应用程序必须接受更广泛的输入。比如,提交个人信息页面的地址字段可以包含字码、空格、字母、等其它字符。但是也可以对这个字段实施有效的限制。
除了用户通过浏览器界面提交的各种输入外,一个典型的应用程序还会收到大生量数据,他们生成在服务器上,并传送给客户端以方便客户端能够在随后的请求中将其返回给服务器。比如,一个参数可能必须包含一个特殊的已知值,或为某种特殊的格式(如一个顾客的号码)。在这些情况下,应用程序拒绝该用户提交的资料请求,并将事件记入文件中,以便随后调查。