Как защитить данные от редактирования кода элемента?
Столкнулся с таким чудом, как Яндекс.Деньги. Данные передаются через форму методом POST на сайт Яндекса и дальше производится перевод. Если в форме, например, 100.000 и изменить их на 2 через «исследовать элемент», то яндекс примет последнее значение. Как можно защитить данное поле от изменений через код элемента? И можно ли вообще?
Как защитить файлы HTML от редактирования пользователем?
Моя программа использует файлы HTML, и в дальнейшем планируются некоторые операции с этими файлами.
Защитить RichTextBox от редактирования
Народ, всем привет!) Подскажите, пожалуйста, как программно (C++) защитить RichTextBox от.
Защитить книгу от редактирования по времени
Добрый вечер. Возникла необходимость организовать защиту файла excel от редактирования. Условие.
Как защитить данные?
Приветствую. У меня есть база данных в виде html страницы, доступ к этой странице приватный. Но.
Пользователю Яндекс напишет сколько и кому переводится. А владелец должен ловить реальную сумму на колбеке при поступлении средств.
Изменения через «исследовать элемент» ведь производится только вами и никем другим? То есть это ничем не отличается по сути от изменения в самой форме. То есть тут нужно защищать от самого пользователя?? А как тогда вообще вводить что то??
А какая проблема может возникнуть то??
Как защитить данные
Добрый день знатоки. Подскажите. Можно ли защитить данные на сервере node.js, подобно модулю.
Защитить таблицу от редактирования для пользователя
Здравствуйте, многоуважаемые программисты. Разрабатываю БД, необходимо, чтобы Администратор(не.
Как защитить данные Excel
Как защитить рабочую книгу Excel именно данные но позволить юзеру менять ширину строк и столбцов. .
Как защитить htaccess от взлома и вживление вредоносного кода?
Как защитить htaccess от взлома и вживление вредоносного кода? Добавлено через 1 минуту.
Как предотвратить изменение кода HTML / JavaScript
Я хотел бы знать, есть ли способ предотвратить изменение html-страницы с jQuery или javascript, чтобы изменить его поведение. Пользователь может изменить его, используя такие инструменты, как FireBug или панель разработчика Google Chrome, чтобы скрыть или показать div, добавить прослушиватели событий к элементам страницы и т.д. Я видел некоторые веб-страницы, показывающие блокирующий div, когда страница загружена, и всплывающее сообщение, чтобы ответить на какой-то вопрос. Если вы ответите на это, div скрывается, и вы можете видеть страницу в обычном режиме. Но если вы попытаетесь скрыть блокирующий div с помощью FireBug, страница перезагрузится, и нет способа увидеть страницу правильно, если вы не зададите вопрос, заданный во всплывающем окне. Я хочу знать, как я могу помешать пользователю делать такие вещи. Большое спасибо.
У вас может быть требование того же домена, поэтому кажется, что это возможно. Странно, что клиентский javascript после изменения интерпретируется так, как будто он из того же домена, а не из клиентского хоста, но файл со стороны клиента интерпретируется как из другого домена.
Для того, чтобы предотвратить простой способ манипулирования кодом на стороне клиента (если вы этого еще не делаете), вы можете ( должны ) использовать минимизированный (css, js . ) код везде, где это возможно в официальной (не локальной) версии ,
8 ответов
Это невозможно (что очень хорошо).
@Alin Purcaru: тогда вы или я неправильно поняли вопрос. Насколько я понимаю, вопрос заключался в том, есть ли способ полностью запретить пользователю видеть ваш скрипт / html / что угодно, что просто невозможно. Даже с предотвращением нажатий клавиш и тому подобного, в конце концов, любой, кто захочет взглянуть на ваш код, увидит его.
Я, наверное, неправильно понял вопрос. На самом деле он спрашивает, может ли он навязывать поведение пользователя на полученном контенте. И это невозможно. Даже если предположить, что браузеры допускают такие ограничения, знающий пользователь всегда может подделать запрос браузера. В своем ответе я попытался предложить альтернативу, а не решение его проблемы.
Чтобы победить метод, описанный в вопросе:
- Вы можете использовать сочетания клавиш для консоли/инструментов ( Ctrl + Shift + I в Chrome)
- Вы можете использовать панель ресурсов/сети, чтобы увидеть источник
- Вы можете видеть это на любом другом уровне, например. Скрипач
- Вы можете использовать букмарклет для упрощения доступа
Нет, вы не можете запретить людям видеть или изменять ваш источник / script, если они хотят. те, которые вы больше всего хотите предотвратить, наиболее способны обойти любые сдерживающий (и что все, что вы делаете, это сдерживающее средство, а не остановка), который вы устанавливаете на место.
Единственный способ сделать это (на мой взгляд) не загружать содержимое страницы, пока пользователь не выполнит требуемые действия. После того, как он ответит на вопрос (или что-то еще), вы отправляете запрос AJAX для контента (конечно, как сказал thejh, вы также должны проверить ответ на сервере, предпочтительно в том же запросе). Таким образом, вы загружаете заголовок страницы, баннеры и все, что не критично, но фактический контент (например, статья в блоге) не должен загружаться, пока пользователь не выполнит ваши действия.
Все, что получает пользовательский браузер, принадлежит пользователю, поэтому вы не можете ничего принуждать.
Конечно, вы не можете помешать кому-либо делать то, что он хочет, но вы можете сделать изменения более трудными.
Взгляните на DOMEvents, особенно на Mutation-Events. Это дает вам возможность увидеть, когда что-то изменилось (атрибуты, удаленные/вставленные узлы, данные в текстовых узлах. ). Например, вы можете создать функцию, которая следит за некоторыми специальными атрибутами, которые вам не нужно будет менять и перезагружать страницу, если это произойдет.
Как уже говорили другие, невозможно контролировать то, что делает конечный пользователь с данными, которые вы им отправили.
Возможно, можно обнаружить объект console , который использует Firebug и другие, но что может сделать ваш сайт с этой информацией после его получения? Вы не можете отключить firebug или не использовать его или даже знать, был ли он использован.
Суть в том, что после того, как веб-страница и код javscript были отправлены в браузер, это не под вашим контролем.
Ближе всего вы можете перейти к тому, что вы хотите, чтобы переместить часть вашего кода из Javascript и на сервер, где пользователь будет неприкосновенен. Однако вам все равно придется иметь какой-то клиентский код, который по-прежнему будет во власти злонамеренных пользователей.
Другой альтернативой является переход на Flash или нечто подобное, когда конечный пользователь не имеет прямого доступа к коду или объектной модели. У этого есть свои собственные недостатки, хотя, и вы будете раскручивать тренд, который должен отойти от Flash к HTML5 и Javascript.
Это невозможно. Когда вы отправляете код клиенту, клиент может посмотреть его и изменить. Только код, который работает на вашем сервере, защищен аганистом.
Используйте ajax для получения удаленной информации, не отправляйте пользователю всю информацию, такую как ответы на опросы и т.д., получите ответ после того, как он выбрал выбор с сервера, например, с помощью ajax. Валидация на стороне клиента никогда не бывает хорошей, черт возьми, как я использовал для удаления других глупых баз данных людей из-за этого, если люди не научились правильно, как вещи ДЕЙСТВИТЕЛЬНО работают, им следует научиться таким трудным способом, как потерять все в случае уязвимости доступа root.
Я не знаю, почему HTML должен быть заблокирован, он не был заблокирован, так как браузеры вышли, чтобы он мог сделать мой собственный браузер с помощью сокета и передать HTML прямо в текстовое поле и посмотреть его в моем любимом блокноте /editor и т.д.
Что касается javascript, вы можете просто отправить javascript-команды в адресную строку браузера (как удобно браузеры в поддержке хакеров хе-хе, но он также используется для взаимодействия с другими технологиями, такими как flash, поэтому у него есть злая/хорошая сторона как все.)
Если вы не знали, что можете просто сделать
или если ваша игра в javascript или что-то еще имеет глобально измененные переменные, вы можете легко их изменить.
javascript: score=9999;damage=99999; и т.д. и т.д., например, я сказал, что все это хорошо, что он сорвет плохих программистов и получает их уволенными или преподает им урок в будущем.
Я видел, как многие крупные сайты все еще попадают на SIMPLE XSS-атаку (межсайтовый скриптинг), который просто озадачивает то, как эти программисты получают работу, я бы сделал лучшее интервью или какое-то дерьмо это смешно
как защитить html файл от изменений?
я написал небольшую инструкцию в html файле но её будут смотреть не на сайте, а просто как файл буду раздавать.
а вопрос такой- как мне этот файл защитить, чтоб его не могли изменить? можно-ли html файл защитить от изменений?
Владислав Швед Профи (550) Блин названия файла не помню. но то что есть это факт а почему хтмл а не скажем пдф?
упаковать в chm-файл. будет как солидный мануал. найдите соответствующие программы которые помогут качественно его создать.
наверна способов многа. я только могу по советывать сделать sfx архив (exe) спомощью винрар. там вощем когда будеш делать, внастройках поставь; распоковать во временную папку, запустить после распаковки. там разберешся
Если они доступа к серверу не имеют изменить исходник не смогут. А полученную копию — ты не защитишь! При любом способе, есть такой способ как например сриншот и распознание текста или ручная перепечатка.
Скачайте лучше DoPDF v7. Установите. Откройте Свою HTMLку Ткине печать. Выберите в качестве принтера DoPDF v7 и укажите где сохранить. На выходе получите Файл PDF хорошего качества который нельзя изменить (не имея специальных знаний и навыков) . Все остальное что здесь пишут только слова. Ява не защитит, это фикция, архивация- тоже, создать chm — это вариант неплохой, но не будет работать в windows 7.
X X Знаток (397) Вы в этом уверены? Проверьте сами. По крайней мере W7 без SP не открывает файлы chm.
Не жадничайте. Вы же не нобелевский лауреат, чего нового вы можете предложить, что не могут сделать другие?
OneClickHelp ([ссылка заблокирована по решению администрации проекта]) из DOC, DOCX, RTF, WordXml, HTM создаст CHM файл (doc 2 chm, doc to chm, doc в chm, htm to chm).
Как заблокировать редактирование input,select?
Проблема такая,что те поля,у которых стоит тег disabled,после нажатия кнопки,сбрасываются на пустые значения.
Без disabled все ок,но тогда поля доступны для редактирования,что меня не устраивает,не подскажите как решить?
Оценить 1 комментарий
Если select == disabled нафига вы его выводите на рендер?
Отдавайте на ренднр только то, что разрешено по правам пользователя.
Когда вы выставляете disabled на какое-то поле браузер не отправляет содержимое поля на сервер. Если у вас сугубо внутренний проект и предполагается что пользователи не собираются его «хакать» или что они все как у Задорнова тупыыые можете сделать эти поля скрытыми, например. (type=»hidden» или стилями display: none;).
Но вообще так делать нехоршо, ведь любой злоумышленник хоть немного знакомый с консолью вызываемой в браузере по F12 может отредактировать форму, и отправить на сервер что угодно.
И да, вам скорее всего не понравится то, что сейчас напишут в ответах. Напишут про «выбросить эту лапшу и переписать», про то, что mysql_* функции давно deprecated, и пора перейти на ORM или PDO. Напишут, что права на редактирование полей нужно проверять на сервере, и использовать разные запросы в базу для разных прав. И будут правы.
«Но вообще так делать нехоршо, ведь любой злоумышленник хоть немного знакомый с консолью вызываемой в браузере по F12 может отредактировать форму, и отправить на сервер что угодно.»
любой злоумышленник может отправить на сервер что угодно даже без формы и браузера. Фронтенд-безопасность это миф, валидация всегда на сервере. На фронте валидация лишь для удобства
Реальная валидация должна быть на сервере при приёме данных. В форме не должно быть секретных данных и форма должна быть удобна пользователю. Не более.