FORM表单安全之使用隐藏域(type=“hidden“)的注意事项

最新推荐文章于 2023-03-07 15:45:12 发布
最新推荐文章于 2023-03-07 15:45:12 发布
阅读量2.1w 收藏 11
点赞数 4
分类专栏: HTML BUG 文章标签: form表单
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MINGHUE/article/details/82925951
版权

最近我测试了一些表单中带有隐藏域的一些网站,发现一个比较普遍的问题!

一、问题描述

表单代码如下

<form id='' action='' method=''>
    <input type='text' name='' value=''/>//用户输入信息
    <input type='hidden'  id='' value =''/>//隐藏域携带信息
    <button type='submit'>提交<button/>
<form/>

隐藏域的值可通过网页调试工具修改,一旦表单提交了这个错误的隐藏域信息,就可能会造成严重的数据错误。如下图: 

二、解决方案

1、使用隐藏域过后,后台一定一定一定要写验证代码,检查该隐藏域携带的值是否符合自己项目的要求。

2、在表单中,使用隐藏域的时候,可以添加js校验文件,对隐藏域的值进行校验,检验通过后才允许提交表单。该方法对技术大佬也是无效的,所以后台校验才是关键。

 

MINGHUE
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
JS中input表单隐藏及其使用方法
10-20
在JavaScript(JS)中,`input` 表单隐藏是一种非常实用的工具,它允许开发者在不向用户展示的情况下,存储和传递信息。隐藏主要用于收集或发送数据,尤其在处理表单提交时,它们提供了隐匿性,使得用户看不到但...
多种实例解析HTML表单form使用方法
09-28
此外,`<form>`标签内可以使用`<input type="hidden">`来传递非用户可见的数据,以及`<input type="file">`来允许用户选择本地文件上传。 为了验证用户输入,HTML5引入了内置的验证功能,如`required`属性强制输入...
表单隐藏的应用
TheAndroid的博客
06-28 308
 表单隐藏的应用     表单隐藏是指在表单form内声明一个type类型为hidden的input标签,用来传递数据(可以在页面内先用JQuery获取要传递的值存入这个input标签的value中)和做一些其它的功能。它的优点是提供了一种往form中存取数据的方法。          基本语法: &lt;input type="hidden" name="field_name" ...
form表单通过hidden向后台传递请求数据
cocoaxian的博客
05-03 4205
form表单作为前端页面向后台请求过程中的请求数据容器: 1、可以将数据通过?分割拼接在URL后面;这是get请求,就相当于直接在浏览器中输入URL的请求。 2、可以将数据放在请求表单中,就是各种常用的标签中;hidden就是为了提交一些不想让用户看到的请求数据,这些数据在浏览器里调试也是看不到的,只有script能够看到并往里放置数据。
你所不知道的form表单中的一些属性
ryuhfxz的博客
10-16 593
说明:form表单用于收集用户信息 form:表单标签,所有要提交的表单都放在里面         action:指定提交目标         method:提交方式,默认是get方式             get:提交的数据在URL中可见,提交的数据有限制             post:提交的数据在URL中不可见,另外就是提交大数据         表单提交:             i...
Web安全-表单隐藏
道阻且长,行则将至。
12-23 4312
前言 最近在安恒的漏洞扫描器发现报了一个低危漏洞——表单隐藏。 该漏洞描述将前端HTML中包含“hidden”属性的字段均视为有低风险存在,并给出建议:检查网页表单中类型为hidden的元素,在服务器端加强校验。 日常认知里,“hidden”属性不是很常用吗(比如前端密码字段),为何存在风险?为此学习并记录以下。 语法简介 首先来了解下HTML hidden 属性: hidden 属性规定对元...
JSP页面多form下的hidden传值异常解决方案
Pasu's Workbench
06-02 534
在毕业设计过程中,发现JSP页面中存在多个form时,form中通过hidden隐藏)提交的数据有时候会出现找不到的现象。为了解决这个问题想了很多办法,最后通过以下方法解决的。 直接将所需传递的参数以Url的形式传递 1. a.jsp 在a页面中,通过如下代码将Url放入request中   &lt;form ... &gt; ... &lt;input type="hidden" name=...
表单元素的 disabled 属性和 hidden 属性
不谷的博客
03-07 514
表单元素的 disabled 属性和 hidden 属性
表单中的隐藏
pink5552的博客
06-09 522
基本语法: 作用:1 隐藏在页面bai中对于du用户是不可见的,在表单中插入隐藏的目的在于zhi收集或发送信息,以利于被处理表单的程序所使用。浏览者单击发送按钮发送表单的时候,隐藏的信息也被一起发送到服务器。 2 有些时候我们要给用户一信息,让他在提交表单时提交上来以确定用户身份,如sessionkey,等等.当然这些东西也能用cookie实现,但使用隐藏就简单的多了.而且不会有浏览器不支持,用户禁用cookie的烦恼。 3 有些时候一个form里有多个提交按钮,怎样使程序能够分清楚到底用户是按那
html中隐藏hidden的作用介绍及使用示例
12-13
1 隐藏在页面中对于用户是不可见的,在表单中插入隐藏的目的在于收集或发送信息,以利于被处理表单的程序所使用。浏览者单击发送按钮发送表单的时候,隐藏的信息也被一起发送到服务器。 2 有些时候我们要给...
隐藏表单仪「Hidden Form Finder」-crx插件
03-09
您在进行开发并且需要帮助来测试隐藏的表单吗? 或者,只是有兴趣查看您所访问的站点正在传递的有关您的信息! 无论哪种方式,此扩展名都可以非常轻松地查看页面上所有隐藏的表单字段。 该扩展程序当前具有提供...
Asp下实现多表单无组件文件上传的实例
10-30
- 表单使用`enctype="multipart/form-data"`,这是处理文件上传所必需的编码类型。 - 多个`<input type="file">`元素允许用户选择多个文件进行上传。 - `hidden`类型的字段`FileUploadStart`和`FileUploadEnd`...
form:hidden与input type="hidden"区别
qq_31138647的博客
08-13 3712
<form:form action="/joint/disciplinary/save" modelAttribute="disciplinaryInfo" id="disciplinaryForm" method="post"> <form:hidden path="status.id"/>【modelAttribute的属性才可以】 <form:hidd...
打开地址,以表单方式隐藏请求参数
qq_36455525的博客
09-18 363
打开链接不使用window.open 隐藏请求参数openWindow hideParams
关于form表单提交什么隐藏属性也可以提交数据
LzwGlory的专栏
01-26 1142
form中visibility=hidden的和display=none的表单元素都会随表单提交, 只有disabled=true的元素不随表单提交。
Js校验表单数据后提交表单的3种方法
热门推荐
让编程改变世界
11-03 1万+
在现在的网站开发过程中,对表单数据进行验证是非常必须的,通过Js将表单数据在客户端进行校验验证不仅速度很快,而且还有一个更大的好处就是缓解服务器压力。如果我们不在客户端进行数据校验,无论什么数据全部都提交到后台服务器,让服务器来进行处理,这个对服务器的浪费是非常大的。故而今天本篇博文讲在浏览器客户端使用Js对表单数据校验后后提交表单的3种方法。 1、方法一 HTML代码:
form 表单input hidden 传值提交(框架angular js)
Sophiego的博客
05-11 7268
form表单提交,一些常用属性。 method 有post、get等方式,action 是后台接口地址, 1、这里想要总结的是使用jsp页面,input类型是hidden,给后台传值从而跳转页面,在另外一个页面接收值时需要用到C标签。   引入 var id = "${id}"; 这样就可以获取到你在前一个页面传的id 值了。 2 input hidden 传值 na
b050闲置图书分享-springboot+vue+elementui.zip(可运行源码+sql文件+文档)
最新发布
07-23
本次开发的闲置图书分享平台实现了收货地址管理、字典管理、公告管理、留言板管理、图书管理、图书收藏管理、图书评价管理、图书订单管理、用户管理、管理员管理等功能。系统用到了关系型数据库中王者MySql作为系统的数据库,有效的对数据进行安全的存储,有效的备份,对数据可靠性方面得到了保证。并且程序也具备程序需求的所有功能,使得操作性还是安全性都大大提高,让闲置图书分享平台更能从理念走到现实,确确实实的让人们提升信息处理效率。 管理图书的数据,此页面主要实现图书的增加、修改、删除、查看的功能。公告信息管理页面提供的功能操作有:新增公告,修改公告,删除公告操作。公告类型管理页面显示所有公告类型,在此页面既可以让管理员添加新的公告信息类型,也能对已有的公告类型信息执行编辑更新,失效的公告类型信息也能让管理员快速删除。
<input type="hidden" name="type" id="type" value="009" />
01-06
`<input type="hidden" name="type" id="type" value="009" />`是一个隐藏输入框,它的作用是在表单中存储数据,但用户无法看到或修改该数据。在这个例子中,隐藏的name属性为"type",id属性为"type",value属性为"009"。当表单被提交时,隐藏的值会被发送到服务器端,以供后续处理。 隐藏常用于存储一些需要在表单提交时传递给服务器的数据,例如标识符、状态信息等。由于隐藏的值不会显示给用户,因此可以用于存储一些敏感信息或者不希望用户修改的数据。 以下是一个示例代码,演示了如何使用隐藏输入框: ```html <form action="submit.php" method="post"> <input type="hidden" name="type" id="type" value="009" /> <input type="text" name="name" id="name" /> <input type="submit" value="提交" /> </form> ``` 在上述代码中,隐藏的值"009"会随着表单的提交一起发送到服务器端。服务器端可以通过获取隐藏的值来进行相应的处理。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值