做好参数校验, 不要过分信任前端传过来的值

最新推荐文章于 2024-04-10 22:20:27 发布
最新推荐文章于 2024-04-10 22:20:27 发布
阅读量9.6k 收藏 5
点赞数 1
CC 4.0 BY-SA版权
分类专栏: s2: 软件进阶 s2: 后台开发 s2: 活捉Bug
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/stpeace/article/details/51759962
本文讨论了一个实际案例:由于未充分校验参数导致后端服务异常的问题。文章强调不仅前端需要进行参数校验,后端也需要进行全面校验以防止恶意攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

       最近遇到这样一个问题, 后台服务的某接口收到了异常的参数值, 导致后端服务异常。 而在用户正常访问的情况下, 前端肯定会进行参数校验的, 那为什么传到后端的参数是异常的呢?

       原来, 不仅是前端在调后台服务, 某些坏人也经常来刷后台的服务, 妈蛋。 其实, 对于每一个参数输入, 咱都不要过分信任, 全面校验, 没有坏处。

       再也不怕坏人刷刷刷了。

 

       

JavaEE知识体系
yuh2012的博客
07-11 2万+
1 1.文件上传下载 1.1 文件上传 1.1.1 文件上传的作用 例如网络硬盘!就是用来上传下载文件的。 在智联招聘上填写一个完整的简历还需要上传照片呢。 1.1.2 文件上传对页面的要求 1.必须使用表单,而不能是超链接; 2.表单的method必须是POST,而不能是GET; 3.表单的enctype必须是multipart/form-data; 4.在表单中添加file表
web渗透常见漏洞总结
gugonggugong的博客
01-14 3738
一、SQL注入 1. 原理 SQL:结构化查询语言 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。 当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击;如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生sql注入。 2. 不同数据库的注入 MySQL access...
日常开发踩坑:前端数据并不可信
weixin_42028840的博客
07-05 1067
    在我们的日常业务开发中,和前端的数据交互是必不可少的,通常前端会将参数以json格式发送至后端进行逻辑处理,但是前端传来的数据真的可以直接拿来用吗?    本篇就针对这里的几个坑点为读者做科普和预警。1前端的计算结果不能直接使用     在实际业务开发中,为了提高效率经常发生的情况是:对于一些运算直接在前端处理,然后把计算的结果传给后端,这个时候可能会有读者这么做:/**  * 订单类  */ @Re
后端:任何客户端的东西都不可信任
魑魅魍魉
09-05 1342
后端开发中要注意的低级安全问题
web开发安全守则之永远不要相信用户的输入
weixin_30765319的博客
07-12 338
一直听说 永远不要相信用户的输入,我一直没有足够地重视。今天让我彻底地明白这个安全原则是多么的重要。 最近上了一个social game游戏项目,其中涉及到道具的购买。我们将这个游戏放到facebook和mixi平台上面,没有发生任何问题(没有人去攻击)。最近将其发布到人人网平台上,于是接二连三地攻击出现了。其他的一些攻击问题我不详细说了,就谈谈我开发的购买道具时候出现的问题: 下...
页面操作牛B功能,永远不要相信截图!!(网上资料搜集)
chuaixiao1416的博客
12-27 188
document.body.contentEditable='true'; 开启web页面可编辑模式,数据随便改,毫无ps痕迹! 转载于:https://my.oschina.ne...
web前端是否应该信任后端API提供的数据?
IT教育任姐姐的博客
09-17 316
     目前开发,基本哦度是采用前后端分离的开发模式,前端负责可视化部分,后端负责数据处理,因此从表面上看来,前端和后端应该是分工明确,彼此信任.然而实际上,前端和后端对于数据上应该都要做必要的验证和处理的。   首先说前端向后端传参.这个过程中就需要有很多的问题了.数据是不是我要的,符合不符合后端数据的规范,有没有可能带有恶意攻击的内容,发送的是不是合法的数据,等等很多问题,虽然前端可...
模糊测试--强制性安全漏洞发掘
热门推荐
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
软件测试基础知识
guo_qingxia的博客
03-13 1242
目录 1.软件测试基础 1.1什么是软件测试 1.2软件测试目的 1.3软件测试流程 1.4测试用例怎么写 1.5bug的严重程度和优先级 1.6敏捷测试 1.7测试驱动开发(TDD) 2.测试方法 2.1单元测试、集成测试、系统测试、回归测试、验收测试 单元测试 集成测试 系统测试 回归测试 验收测试 冒烟测试 2.2黑盒测试、白盒测试、灰盒测试 黑盒测试 白盒测试 灰盒测试 2.3静态测试、动态测试 静态测试 动态测试 2.4手工测试与自动化测试 2..
软件测试基础知识(大全)
weixin_43639443的博客
04-11 915
1、什么是兼容性测试?兼容性测试侧重哪些方面? 参考答案: 兼容测试主要是检查软件在不同的硬件平台、软件平台上是否可以正常的运行,即是通常说的软件的可移植性。 兼容的类型,如果细分的话,有平台的兼容,网络兼容,数据库兼容,以及数据格式的兼容。 兼容测试的重点是,对兼容环境的分析。通常,是在运行软件的环境不是很确定的情况下,才需要做兼容。根据软件运行的需要,或者根据需求文档,一般都能够得出用户会在什...
后端对前端参数进行校验
link123link的博客
12-27 2088
项目总结——参数校验
一段旅程
01-15 518
目的: 确保参数合法,有效 节省整个进程时间,提高用户体验 常见校验: 1.非空校验 常见样例: private void validate(Request request) { ensureParameterExist(request, "参数为空"); } public static void ensureParameterExi...
前端与后端参数传递
ABestRookie的博客
10-14 4747
原文地址 1 基本数据类型 我们常见有传递 int, string, bool, double, decimal 等类型。 需要注意的是前台传递的参数和后台Action 中的参数名称需要保证一致,否则 MVC 无法完成的绑定。 前台代码: //传递基本的数据类型 $('#btn1').on('click', function () { var obj = { parm1: 100,
前端开发常见问题之代码开发规范问题
weixin_42616004的博客
05-14 700
开发中常常出现的代码不规范问题记录 开发中常常出现的代码不规范问题记录 1. 模板 1.1. v-for与v-if一起使用 1.2. 避免写内联样式,除非需要动态绑定 1.3. 代码拷贝之后移除无用代码 1.4. 模板中禁用复杂表达式 2. 脚本 2.1. 使用async/await组合提升代码可读性 2.2. 接口状态应当判断成功而非失败 2.3. 若无依赖禁用连续await 3. 样式 3.1. 直导入需要的SCSS文件 3.2. 组件样式覆盖放到统一文件中 3.3. 辅助样式类命名考
所有来自前端的数据都是“不可信”的 : 浅谈前端代码加密
最新发布
2301_79099480的博客
04-10 640
你要问前端开发难不难,我就得说计算机领域里常说的一句话,这句话就是『难的不会,会的不难』,对于不熟悉某领域技术的人来说,因为不了解所以产生神秘感,神秘感就会让人感觉很难,也就是『难的不会』;当学会这项技术之后,知道什么什么技术能做到什么做不到,只是做起来花多少时间的问题而已,没啥难的,所以就是『会的不难』。我特地针对初学者整理一套前端学习资料分享给大家,戳这里即可领取如果你觉得这些内容对你有帮助,可以扫码获取!!(备注:前端)你要问前端开发难不难,我就得说计算机领域里常说的一句话,这句话就是『
为什么不建议函数有太多参数
01-28 3394
函数参数是如何传递的?
前后台交互的传参方式与大参数传递
iteye_8564的博客
05-07 437
[size=medium] 前台向后台传参,一般有如下几种方式: 1)URL方式传参 这种方式传参时,首个参数置于url的后面,用“?”连接;形式:url?param=value 如:http://zhidao.baidu.com/q?word=%D6%BD%B1%D2+%CB%BA%BB%D9 多个参数时,参数间用“&”连接, 例如:http://zhidao.baidu.com/q...
前端基础知识点:JS中的参数传递详解
sdasadasds的博客
08-05 4881
如图所示,18的空间是真正存储数据的空间(new出来的堆空间),20是存储真正数据所在空间的地址。(如下图)假设实参a的地址18,实参b的地址为19。形参x和y的确实进行了交换,但是由于形参与实参是不同的空间,所以形参x,y的改变,是无法影响到实参a,b的。先说结论,JS只有传递,没有引用传递。地址就是内存中的一个编号,等价于我们常说的引用ID(引用ID是优化后的地址)。有,当传递的实参为引用类型时,可以通过形参改变实参所指向空间的数。单向传递,只能将实参的数传递给形参,不能将形参的传递给实参。.
使用Optional对前端传来的参数进行校验
05-31
可以使用Optional对前端传来的参数进行校验。Optional是Java 8引入的一个类,用于表示一个存在或不存在的情况,可以有效避免NullPointerException异常的出现。 假设前端传来的参数是一个字符串,可以使用Optional...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值