阻止外部提交和客戶端腳本不兼容解決方法
當前位置:點晴教程→知識管理交流
→『 技術文檔交流 』
為了阻止一些人惡意的向站點提交內容,我們在站點中加入了阻止外部提交,你將會發現在客戶端使用腳本window.open或是document.location.href進行跳轉時都成了非法來源了,似乎只能通過點擊頁面的鏈接或提交表單的方式才可能是合法的。既然通過提交表單可以,那我們只需在頁面中構造一個隱藏的表單,腳本要跳轉時動態的更改隱藏表單的提交地址,并用腳本提交表單不就解決了!下邊是測試代碼:
index.htm: <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=gb2312" /> <!-- <meta http-equiv="refresh" content="5;URL=test.asp" /> --> <title>外部提交測試</title> </head> <body> <form id="jumpto" name="jumpto" method="post" action="" style="display:none;"></form> <a href="test.asp">Links</a> <br /><br /><br /> <input name="btn" type="button" id="btn" value="window.location" onclick="window.location = 'test.asp';" /><br /> <input name="btn2" type="button" id="btn2" value="document.location.href" onclick="document.location.href = 'test.asp';" /><br /> <input name="btn3" type="button" id="btn3" value="window.open" onclick="window.open('test.asp');" /><br /> <input name="btn4" type="button" id="btn4" value="location.replace" onclick="location.replace('test.asp');" /><br /> <input name="btn5" type="button" id="btn5" value="jumpto(就我可以)" onclick="jumpto.action='test.asp';jumpto.submit();" /><br /> </body> </html> test.asp: <% Server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")) Server_v2=Cstr(Request.ServerVariables("SERVER_NAME")) Response.Write("來源: " & mid(server_v1,8,len(server_v2)) & "<br/>") Response.Write("當前: " & Server_v2 & "<br/>") If mid(server_v1,8,len(server_v2))<>server_v2 then Response.write "警告!你正在從外部提交數據!!請立即終止!!" Response.End End if %> 另一種方法是通過修改服務器端程序:既然我們的目的只是為了阻止外部提交,那么只需在有通過Post或Get方式進行提交數據時才驗證來源,其他情況都不驗證,這樣上邊腳本不兼容問題自然也就沒有了。上邊的程序不僅阻止外部提交,連友情鏈接也都被阻止了。修改后的服務器端程序如下: <% If Instr(Request.Form,"=")>0 or Instr(Request.QueryString,"=")>0 Then Server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")) Server_v2=Cstr(Request.ServerVariables("SERVER_NAME")) Response.Write("來源: " & mid(server_v1,8,len(server_v2)) & "<br/>") Response.Write("當前: " & Server_v2 & "<br/>") If mid(server_v1,8,len(server_v2))<>server_v2 then Response.write "警告!你正在從外部提交數據!!請立即終止!!" Response.End End if End If %> 當然,也可以將上邊驗證程序寫成一個函數,在需要的時候再調用也是可以的,這也是一種比較通用的做法: <% Sub checkForm() Server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")) Server_v2=Cstr(Request.ServerVariables("SERVER_NAME")) Response.Write("來源: " & mid(server_v1,8,len(server_v2)) & "<br/>") Response.Write("當前: " & Server_v2 & "<br/>") If mid(server_v1,8,len(server_v2))<>server_v2 then Response.write "警告!你正在從外部提交數據!!請立即終止!!" Response.End End if End Sub %> 該文章在 2011/3/10 23:40:09 編輯過 |
關鍵字查詢
相關文章
正在查詢... 
|
400 186 1886
