07-不要相信客戶端

客戶端驗證不能代替服務端驗證

l 設置取款金額不能高於100元
• 客戶端：<form
onsubmit="if(parseInt(document.getElementById('TextBox1').value
,10)>100){alert('最多隻能取款100元');return false;}">
l 用戶能夠直接向服務器發Http請求（好比直接在地址欄中構造
jquerystring）繞過客戶端瀏覽器檢查來幹壞事。
l 客戶端校驗是爲了很好的客戶端體驗，服務器端校驗是最後一次把關，
防止惡意請求。一個都不能少。jquery Validator+服務器端校驗是不錯
的開發模式

 

記住數據能夠改哦

l 客戶端藏起來、不顯示也不必定安全。不要輕信用戶提交上來的
數據：好比控制有的數據能刪除、有的不能刪除，若是隻是隱藏
不能被刪除的數據，而把id作爲參數傳遞，就可能有問題。舉例
l Http報文的UserAgent、Referer、Cookie等都是能夠造假的，不
要相信這些可能會造假的數據。

 

ValidateRequest
l ASP.Net4.0以後會對ashx檢測中默認對請求的數據進行了校驗，若是數據中有<
、>等有潛在XSS攻擊的字符，則會報錯。對於一些CMS系統等確實須要提交
HTML內容的地方要關閉它，修改web.config，在<system.web>節點中加入
<httpRuntime requestValidationMode="2.0" /> 把驗證變動爲2.0模式。（*aspx
在頁面頂部的Page中還要加入ValidateRequest="false"） 。
l 這樣的功能只能開放給網站編輯、系統管理員等可信的人，對於普通網友不能開
放。爲何？什麼是XSS，基於以前開發的留言板項目來試驗XSS（跨站腳本，
Cross-site scripting）
l 利用漏洞1：送獎品的消息框。
l 利用漏洞2：收集賬號、密碼

 

CKEditor的使用

l 把除了_samples、_source、*.php、*.asp的放到js/ckeditor文件
夾下。
l 頁面中引用ckeditor.js
l 頁面中編輯器的位置使用textarea，在頁面onload中或者在
textarea以後CKEDITOR.replace(textarea1);
l 原理？