#html #security #web-applications #http-request-parameters #tampering
#HTML #Безопасность #веб-приложения #http-запрос-параметры #подделка
Вопрос:
У нас есть HTML-страница с формой, и предполагается, что непосредственно перед отправкой формы запрос перехватывается, а значения, введенные авторизованным пользователем, подделываются каким-либо хакерским инструментом. Как мы можем исправить или предотвратить это в веб-приложении.
Использование SSL для защиты данных от прослушивания допустимо после отправки запроса, но сценарий, опубликованный здесь, предназначен для до отправки запроса на сервер.
Комментарии:
1. Вы не доверяете вводу данных клиентом. Клиент может делать все, что угодно.
Ответ №1:
Вы можете зашифровать данные с помощью асимметричного шифрования. Вы можете использовать общедоступный сертификат вашего сервера в приложении, поэтому, как только вы нажмете на отправить, вы сможете получить всю информацию формы и зашифровать ее с помощью этого ключа. Как только информация поступает на сервер, сервер может использовать свой закрытый ключ для расшифровки этой информации. Чтобы избежать подделки открытого ключа, вы можете использовать технологию закрепления сертификата.