Sanitizing Drop-Down-Optionen mit einer Whitelist

Ich habe einen Blick auf diesen Link: https://www.owasp.org/index.php/Input_Validation_Cheat_Sheet , die die Verwendung von Whitelists in Dropdown-Menüs diskutieren.Sanitizing Drop-Down-Optionen mit einer Whitelist

Was ich nicht bekomme, ist, warum würden Sie eine Whitelist auf einer Liste von Optionen verwenden, wenn das alles ist, woraus Sie wählen können?

Ich verstehe, warum Sie es auf Benutzereingaben wie die Eingabe in Ihrem Namen usw. verwenden würden, aber ich nicht, warum Sie es auf Optionen verwenden würden, wenn der Benutzer nicht physisch etwas in

eingeben wird. Oder habe ich gerade gelesen das ist falsch?

Quelle

2012-04-10 user1278496

Sie können niemals einer Eingabe vertrauen, die von außen in die Anwendung kommt (Benutzer, Datenbank usw.). Wenn Sie eine Anwendung mit Sicherheit schreiben möchten, müssen Sie die eingehenden Eingaben immer überprüfen. – hakre

Sie gehen davon aus, dass sie Ihr Formular verwenden, um es an den Formularprozessor zu senden, aber das ist nicht unbedingt der Fall.

Abgesehen davon ist es einfach, die Werte aus dem Dropdown beispielsweise mit Firebug zu ändern und das Formular danach zu posten.

Quelle

2012-04-10 18:02:27 jeroen

Ein Benutzer kann weiterhin die Daten in einer Dropbox ändern und Daten an Ihre Seite senden. Deshalb.

Quelle

2012-04-10 17:55:22

Sanitizing Drop-Down-Optionen mit einer Whitelist

Antwort

Verwandte Themen