演示一个最简单的JavaScript客户端验证的漏洞
很多时候我们都有JavaScript在客户端做验证,比如必填选项,格式验证等,如果不合法则不让表单提交。但是对于重要的信息如果不在服务器端再做一次验证,是很有风险的。下面的简单示例证明了这一点。
HTML文件如下,页面上有两个文本输入框,一个的id是name,一个id是sechole。JavaScript在客户端对name做检查,简单起见,这里的验证规则是必须填值。验证通过后提交到服务器端的一个servlet。
- <!DOCTYPE html PUBLIC “-//W3C//DTD HTML 4.01 Transitional//EN” “http://www.w3.org/TR/html4/loose.dtd”>
- <html>
- <head>
- <meta http-equiv=”Content-Type” content=”text/html; charset=ISO-8859-1″>
- <title>js security hole</title>
- <script language=’javascript’>
- function checkInput(){
- var name = document.getElementById(“name”);
- if(name.value.length==0){
- alert(“name invalid”);
- return false;
- }
- return true;
- }
- </script>
- </head>
- <body>
- <form action=”xxx.test” method=”post” onsubmit=”return checkInput();”>
- <label for=”name”>name</label><input id=”name” name=”name” type=”text”><br>
- <label for=”sechole”>security hole</label><input id=”sechole” name=”sechole” type=”text”>
- <br>
- <input type=”submit” value=”submit”>
- </form>
- </body>
- </html>
通过浏览器的一些插件,如firefox的firebug,将sechole的id改为name,将name的id改为别的值,则可以”骗”过浏览器的JS验证。如下图,name的输入框没有填值,在security hole的框里填上值,则可以通过验证,并且成功提交。