阻止外部提交和客戶端腳本不兼容解決方法

admin

2011年3月10日 23:40 本文熱度 3704

為了阻止一些人惡意的向站點提交內(nèi)容，我們在站點中加入了阻止外部提交，你將會發(fā)現(xiàn)在客戶端使用腳本window.open或是document.location.href進行跳轉(zhuǎn)時都成了非法來源了，似乎只能通過點擊頁面的鏈接或提交表單的方式才可能是合法的。既然通過提交表單可以，那我們只需在頁面中構(gòu)造一個隱藏的表單，腳本要跳轉(zhuǎn)時動態(tài)的更改隱藏表單的提交地址，并用腳本提交表單不就解決了！下邊是測試代碼：

index.htm：

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />
<!-- <meta http-equiv="refresh" content="5;URL=test.asp" /> -->
<title>外部提交測試</title>
</head>
<body>
<form id="jumpto" name="jumpto" method="post" action="" style="display:none;"></form>
<a href="test.asp">Links</a>
<br /><br /><br />
<input name="btn" type="button" id="btn" value="window.location" onclick="window.location = 'test.asp';" /><br />
<input name="btn2" type="button" id="btn2" value="document.location.href" onclick="document.location.href = 'test.asp';" /><br />
<input name="btn3" type="button" id="btn3" value="window.open" onclick="window.open('test.asp');" /><br />
<input name="btn4" type="button" id="btn4" value="location.replace" onclick="location.replace('test.asp');" /><br />
<input name="btn5" type="button" id="btn5" value="jumpto(就我可以)" onclick="jumpto.action='test.asp';jumpto.submit();" /><br />
</body>
</html>

test.asp：

<%
Server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
Server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
Response.Write("來源: " & mid(server_v1,8,len(server_v2)) & "<br/>")
Response.Write("當前: " & Server_v2 & "<br/>")
If  mid(server_v1,8,len(server_v2))<>server_v2  then
    Response.write "警告！你正在從外部提交數(shù)據(jù)??！請立即終止！！"
    Response.End
End if
%>

另一種方法是通過修改服務(wù)器端程序：既然我們的目的只是為了阻止外部提交，那么只需在有通過Post或Get方式進行提交數(shù)據(jù)時才驗證來源，其他情況都不驗證，這樣上邊腳本不兼容問題自然也就沒有了。上邊的程序不僅阻止外部提交，連友情鏈接也都被阻止了。修改后的服務(wù)器端程序如下：

<%
If Instr(Request.Form,"=")>0 or Instr(Request.QueryString,"=")>0 Then
    Server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
    Server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
    Response.Write("來源: " & mid(server_v1,8,len(server_v2)) & "<br/>")
    Response.Write("當前: " & Server_v2 & "<br/>")
    If  mid(server_v1,8,len(server_v2))<>server_v2  then
        Response.write "警告！你正在從外部提交數(shù)據(jù)！！請立即終止！！"
        Response.End
    End if
End If
%>

當然，也可以將上邊驗證程序?qū)懗梢粋€函數(shù)，在需要的時候再調(diào)用也是可以的，這也是一種比較通用的做法：

 <%
Sub checkForm()
    Server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
    Server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
    Response.Write("來源: " & mid(server_v1,8,len(server_v2)) & "<br/>")
    Response.Write("當前: " & Server_v2 & "<br/>")
    If  mid(server_v1,8,len(server_v2))<>server_v2  then
        Response.write "警告！你正在從外部提交數(shù)據(jù)??！請立即終止??！"
        Response.End
    End if
End Sub
%>

該文章在 2011/3/10 23:40:09 編輯過

關(guān)鍵字查詢

相關(guān)文章

正在查詢...

點晴ERP是一款針對中小制造業(yè)的專業(yè)生產(chǎn)管理軟件系統(tǒng),系統(tǒng)成熟度和易用性得到了國內(nèi)大量中小企業(yè)的青睞。

點晴PMS碼頭管理系統(tǒng)主要針對港口碼頭集裝箱與散貨日常運作、調(diào)度、堆場、車隊、財務(wù)費用、相關(guān)報表等業(yè)務(wù)管理，結(jié)合碼頭的業(yè)務(wù)特點，圍繞調(diào)度、堆場作業(yè)而開發(fā)的。集技術(shù)的先進性、管理的有效性于一體，是物流碼頭及其他港口類企業(yè)的高效ERP管理信息系統(tǒng)。

點晴WMS倉儲管理系統(tǒng)提供了貨物產(chǎn)品管理,銷售管理,采購管理,倉儲管理,倉庫管理,保質(zhì)期管理,貨位管理,庫位管理,生產(chǎn)管理,WMS管理系統(tǒng),標簽打印,條形碼,二維碼管理,批號管理軟件。

點晴免費OA是一款軟件和通用服務(wù)都免費，不限功能、不限時間、不限用戶的免費OA協(xié)同辦公管理系統(tǒng)。

超碰人人人人人,亚洲AV午夜福利精品一区二区,亚洲欧美综合区丁香五月1区,日韩欧美亚洲系列

阻止外部提交和客戶端腳本不兼容解決方法