浏览器查询参数与表单数据的优先级问题

最新推荐文章于 2022-08-17 19:34:11 发布
最新推荐文章于 2022-08-17 19:34:11 发布
阅读量2.1k 收藏
点赞数 1
分类专栏: 精进的前端 文章标签: 浏览器表单数据 查询参数 优先级 跨站脚本攻击 XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yiifaa/article/details/75195020
版权

在提交数据的实验中,突然冒出一个这样的想法:在请求地址中与表单数据中同时添加同样的参数,并赋予不同的值,那么服务器获取参数时,究竟是取查询参数中的值,还是表单数据中的值?

以用户登录为例,假定登录地址为login,在查询参数中与表单数据中同时添加信息,代码如下:

//  已引入jQuery库
$.post('/params?username=yiifaa&password=yiifaa', {
    username : 'yiifee',
    password : 'yiifee'
}, function(datas) {
    console.log(datas);
})

那么服务器端接收的username到底是yiifaa呢,还是yiifee呢?

首先查看浏览器提交的请求信息,发现浏览器将查询参数与表单数据都提交给了服务器,见下图:![查询参数与表单数据]
地址参数与表单数据

那么服务器端是怎么处理的呢?
如果通过request.getParameter()方法进行获取,我们发现,获取的值始终都为请求地址参数中的值,但如果用request.getParameterValues()方法进行获取,返回的值为String数组,且请求地址参数放在第一位,紧跟着才是表单数据中的值,服务端代码如下:

@RequestMapping(value = "/params", method = RequestMethod.POST)
public Map<String, String[]> params(HttpServletRequest request) {
    //  总是获取到地址参数中的值
    String username = request.getParameter("username");
    //  可通过request.getParameterValues("username")获取所有的值
    return request.getParameterMap();
}

最后服务器端的返回结果如下,说明查询参数与表单数据都是有效的赋值,只是优先级有差异:

{
    "username":["yiifaa","yiifee"],
    "password":["yiifaa","yiifee"]

}

结论

通过在查询参数中添加参数与赋值,可以覆盖表单中提交的数据信息,这是否又为XSS(跨站脚本攻击)打开了一扇窗呢?

蚁方阵
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在Express中获取表单GET请求参数和POST请求体数据
cake_eat的博客
10-13 1046
在Express中获取表单GET请求参数 Express内置了一个API,可以直接通过req.query来获取 req.query 在Express中获取表单POST请求体数据 在Express中没有内置获取表单POST请求体的API,这里我们需要使用一个第三方包:body-parser 安装: npm install --save body-parser 配置: var express = require('express') //0.引包 var bodyParser = require('body-
百度网页搜索查询参数
为梦想
10-24 1211
百度网页搜索查询参数必备参数☉ wd -- 查询的关键词(Keyword)。☉ pn -- 显示结果的页数(Page Number)。☉ cl -- 搜索类型(Class),cl=3为网页搜索。可选参数☉ rn -- 搜索结果显示条数(Record Number),取值范围在10-100条之间,缺省设置 rn=10。☉ ie -- 查询输入文字的编码(Input
获取表单中的参数数据集并查询
pacer123
07-21 271
    在项目中某些模块进行查询时,可以通过form.findField('xxx');的方式一一获得表单参数,然后传递到后台进行查询。     我们可以通过如下的方式获取,只需要调用prepareParamsFromForm 方法并将frm对象以及列表对象当做参数传递进去,即可实现对表单数据参数的赋值。 1、 获取表单数据 var prepareParamsFromForm = funct...
浏览器表单的基本使用
comegoing_xin_lv的博客
08-17 514
表单常见标签与使用,基础知识
金蝶K3 CLOUD数据字典
01-20
K3Cloud数据字典K3Cloud Data Dictionary,非常全面实用,是从事金蝶开发的技术人员不可缺少的金蝶CLOUD工具
web常见面试问题及答案
最新发布
07-18
大多数现代浏览器都支持这两种事件传播机制,并且可以通过在事件监听函数中设置第三个参数(`true` 表示捕获,`false` 表示冒泡,默认为 `false`)来控制使用哪种机制。 #### 3. React 和 Vue 的理解和区别 - **...
DELPHI 5编程实例与技巧
10-21
1.4.1 使用代码浏览器 9 1.4.2 使用代码编辑器 9 1.4.3 使用帮助系统 10 1.4.4 设置IDE桌面 11 第2章 对象Pascal语言 12 2.1 学习对象Pascal语言的一个通用 例程 12 2.2 对象Pascal语言基础 14 2.2.1 标识符 14 ...
前端面试问题:[初级]准备进行前端面试
02-10
- 层叠与继承:理解CSS的优先级规则,以及如何利用继承减少代码重复。 - 盒模型:理解内容(content)、内边距(padding)、边框(border)和外边距(margin)的概念。 - 布局:流式布局、网格布局、Flexbox和Grid布局的...
Delphi 5编程实例与技巧
05-20
1.4.1 使用代码浏览器 9 1.4.2 使用代码编辑器 9 1.4.3 使用帮助系统 10 1.4.4 设置IDE桌面 11 第2章 对象Pascal语言 12 2.1 学习对象Pascal语言的一个通用 例程 12 2.2 对象Pascal语言基础 14 2.2.1 标识符 14 ...
网络程序设计基础复习题(1).doc
06-18
7. 表单提交与数据获取: - POST方法提交的数据存储在Request.Form集合中,而GET方法的数据在Request.QueryString中。 8. Redirect方法: - Redirect方法将客户端浏览器重定向到指定的新URL,这通常发生在客户端...
Form表单、四种常见的POST请求提交数据方式、MIME【转】
weixin_30887919的博客
01-26 8439
浏览器行为:Form表单提交 1、form表单常用属性 action:url 地址,服务器接收表单数据的地址 method:提交服务器的http方法,一般为post和get name:最好好吃name属性的唯一性 enctype: 表单数据提交时使用的编码类型,默认使用"pplication/x-www-form-urlencoded",如果是使用POST请求,则请求头中的conte...
浏览器查看request参数和response参数
热门推荐
轻描淡写
06-07 4万+
-------------- Ajax方式请求 --------------1、按快捷键F12进入浏览器的开发者调试模式【这里以谷歌浏览器为例】2、选中【NetWork】--&gt;【XHR】(当然读者可以查看其它信息可以选中其它例如:All、JS、CSS、Img...)3、请求参数:查看顺序 【(alter)的接口】 --&gt; 【Headers】--&gt;【Request PayLoad...
【K3Cloud】值的获取与设置
11-06 2494
一、值获取 //普通字段 this.View.Model.GetValue("key"); //基础资料 var baseData = this.View.Model.GetValue("key") as DynamicObject; //baseData["Id"],baseData["Number"],baseData["Name"] //辅助资料 var assistantData = ...
表单提交loading加载提示效果
Denglishang的博客
07-30 1万+
  提交表单后,有时候会需要一定的响应时间,比如说,若需要往很多表里面插入数据,可能会出现点击提交后,服务器响应还未返回,在一定时间内浏览器毫无反应,会给用户造成错觉,以为系统是不是崩了,这就很尴尬啦。 因此,可以自定义在提交表单后添加一个loading效果。 来来来,先附一张动图: CSS: .submit_loading { position:fixed; wi...
linux 实时线程优先级问题——数值越大优先级越高吗?
学无止境
05-08 2万+
linux 实时线程优先级问题——数值越大优先级越高吗?   2012-06-03 15:14:23|  分类: linux内核开发 |字号 订阅      今天查看了linux下的实时线程,FIFO和RR策略的调度,遇到一个问题:      priority越大优先级越高呢?还是越小越高呢?      回答这个问题要明白一个问题,首先,linux2.6内核将
获取K3 Cloud数据中心列表
qq_37867755的博客
10-11 2133
获取K3 Cloud数据中心列表 假如我们要在即时库存添加字段,相信我一下的内容可以对你提供帮助。 若有不明白的: 点击添加QQ….
怎么查看前端表单提交到后台的所有参数
祈澈菇凉
09-03 4332
<!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>test</title> <link rel="stylesheet" href="https://cdn.bootcss.com/twitter-bootstrap/4.3.1/cs...
InfoPath2007浏览器模式表单创建与发布教程
这个过程分为两个步骤:使用VSTO 2005与InfoPath 2007协作,以及利用InfoPath的浏览器兼容性功能。 首先,创建InfoPath表单模板有两条路径。方法一是先在InfoPath中设计基础模板,再通过VSTO集成托管代码,适用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值