Ich schreibe eine Webanwendung auf Asp.Net MVC 3. Angenommen, wir haben einige Seiten und ein @ Html.Hidden-Feld mit einigen Informationen darin. Kann ich sicher sein, dass der Benutzer diese Information nie in einem versteckten Feld erreichen wird? Kurz gesagt: ist es sicher, versteckte Felder für Informationen zu verwenden, die dem Benutzer nicht offenbart werden sollten?Verstecktes Feld, sichere Verwendung?
Antwort
Kann ich sicher sein, dass der Benutzer diese Informationen nie in einem versteckten Feld erreichen wird? Kurz gesagt: Ist es sicher, versteckte Felder für Informationen zu verwenden, die dem Benutzer nicht offengelegt werden sollten?
Absolut nicht. Es wird immer noch gesendet an den Client - es wird nur nicht in der gerenderten HTML sichtbar sein. Wenn jemand "Quelle anzeigen" verwendet, sieht er immer noch das Feld.
Ich schlage vor, Sie versuchen es für sich selbst zu sehen - erstellen Sie das versteckte Feld, dann sehen Sie die Seite in einem Browser und wählen Sie "View Source". Es ist immer gut, eine Vorstellung davon zu haben, wie das generierte HTML aussieht.
Wenn Sie müssen die Informationen an den Client senden, verschlüsseln und signieren ersten - auf diese Weise wird der Benutzer nicht in Klartext anzeigen kann, und sie werden nicht in der Lage sein, eine andere zu schmieden Wert in der Antwort, anders als "zuvor gesehen gültige Werte".
Jeder Benutzer kann mit der rechten Maustaste auf das Formular klicken und Quelle anzeigen auswählen. Dies bedeutet, dass alle Markups (ausgeblendete Felder) für den Benutzer sichtbar sind.
Wenn Sie nicht möchten, dass der Benutzer es sieht, senden Sie es nicht an sie. Ziehen Sie in Betracht, stattdessen auf der Serverseite zu bleiben.
Ist es sicher, versteckte Felder für Informationen zu verwenden, die dem Benutzer nicht angezeigt werden sollten?
Absolut nicht. Nicht nur, dass der Benutzer die Information, die in einem versteckten Feld gespeichert ist, sehen kann, er kann sie auch ändern. Speichern Sie niemals sinnvolle Informationen in einem versteckten Feld.
Dies ist ein häufiger Fehler, den jeder in einem asp.net-Projekt machen könnte. Der Programmierer hat vergessen, das versteckte Feld unsichtbar zu machen, so dass die versteckten Sicherheitsinformationen auf der Client-Seite angezeigt werden können.
zum Beispiel haben wir eine abgelegt versteckt, die wie folgt lautet:
<asp:HiddenField ID="job_id" runat="server" />
Was ist das Problem? Nun, dieser versteckte Wert kann von anderen auf der Client-Seite angezeigt werden, indem der Quellcode im Browser angezeigt wird. Du wirst das sehen.
<input id="ctl00_ContentPlaceHolder2_job_id" type="hidden" value="102" name="ctl00$ContentPlaceHolder2$job_id"></input>
Wie wird das korrigiert? Dies ist der richtige Code. Sie müssen nur Visible = "false" setzen.
<asp:HiddenField ID="job_id" runat="server" Visible="false" />
:)
Weitere Details zu
wusit.com/blog/member-blog-details.aspx?upn=uE5GzSGY7UI=&bid=yiDsoLlp+Io=
Dies ist für Webformulare und die Frage war über MVC. –
- 1. Jquery verstecktes Feld
- 2. get Wert verstecktes Feld
- 3. Verstecktes Feld in Schienenform
- 4. Verstecktes Feld preiswerten
- 5. Verstecktes Feld in ListView Android?
- 6. jquery dynamische Hinzufügen verstecktes Feld
- 7. Verstecktes Feld von Ergebnis ausblenden
- 8. Jquery verstecktes Feld in Tabelle
- 9. Autocomplete + verstecktes Feld in jquery?
- 10. Verstecktes Feld Wert nicht gefunden
- 11. Vorzulegen verstecktes Feld zu bilden
- 12. JQuery Verwendung eines anderen Feld hinzufügen und verstecktes Feld aktualisieren, nur einen Weg
- 13. verstecktes Feld Wert nach dem Postback verloren
- 14. Ignorieren Sie nicht Excel verstecktes Feld VBA
- 15. Verstecktes Feld mit Autovervollständigen-Wert füllen
- 16. CakePHP Checkbox zeigt zusätzliches verstecktes Feld
- 17. Meteor Autoform - Rechenwert für verstecktes Feld
- 18. Erstellen Sie ein verstecktes Feld in JavaScript
- 19. Asp.Net Mvc Verstecktes Feld von Daten Anmerkungen
- 20. View State vs verstecktes Feld in asp.net
- 21. Kann Viewstate verstecktes Feld nicht entfernen
- 22. Sichere Verwendung von Javas SecureRandom
- 23. Wie übergibt man ein Array als verstecktes Feld?
- 24. Wird ein verstecktes Feld effizient gegen Bot gesetzt?
- 25. Wie benutze ich ein verstecktes Feld für mehrere Formular Submission
- 26. nicht in der Lage in ausgewählten jquery verstecktes Feld hinzufügen
- 27. Verstecktes Feld geändert durch Javascript, das auf Postback nicht beharrt
- 28. Javascript-Frage: Wie kopiere ich Benutzereingaben in ein verstecktes Feld?
- 29. Viewstate verstecktes Feld so groß es macht alles zum Absturz
- 30. Zuweisung Wert von js Code mvc Messers verstecktes Feld
+1 für das Offensichtliche: „Wenn Sie der Benutzer nicht wollen, um es zu sehen, tun Sie es nicht senden zu ihnen." – phoog