2 sunhongbin1987 sunhongbin1987 于 2016.01.18 19:22 提问

单一页面中的操作怎么防绕过

图片说明

类似唯品会这种,不能绕过前面的手机验证码而直接点“确定”来提交密码!

图片上的三个红框内容都在同一个页面上,只是用样式控制了显隐,去掉样式后就现在这样了,后台怎么做才能知道我是点下一步之后点的确定,而不是绕过验证码直接点的确定。希望能给个后台操作的思路!

4个回答

caozhy
caozhy   Ds   Rxr 2016.01.18 19:42

客户端是不可靠的,任何情况下,都需要在服务器进行双重判断。这是基本常识问题。

save4me
save4me   Ds   Rxr 2016.01.18 23:08

如果你在浏览器上按F12查看网络请求的话,你会发现唯品会忘记密码页面在输入验证码点下一步后,服务器会返回一个sftoken,后台会在后续的提交中验证这个sftoken,如果用户跳过验证码的话,就不会获得这个token,自然后续操作也不能通过后台的验证。

kris234seth
kris234seth   2016.01.19 21:36

第一步短信验证码成功以后返回一个 token ,第二步提交的时候把这个token也提交到后台,对比token

91program
91program   Ds   Rxr 2016.01.18 19:40

可以先隐藏下面的控件,或者Disable下面的控件。

Csdn user default icon
上传中...
上传图片
插入图片
准确详细的回答,更有利于被提问者采纳,从而获得C币。复制、灌水、广告等回答会被删除,是时候展现真正的技术了!
其他相关推荐
破解 js 防 ifram 嵌入方法(绕开防嵌js 实现跨域模拟登入)
运用场景:         我想在我的系统上用ifram嵌入一个他人
ASP.NET 防止用户跳过登陆界面
1.在登陆页面的检查登陆成功代码后添加如下代码  Session["UserID"] = txtUserID.Text.Trim();  或者  Session["UserID"] = "OK";  例如,在我的 Login.aspx.cs 的登陆按钮响应事件中代码如下:  if (BaseClass.CheckUser(txtUserID.Text.Trim(), txtPwd.Tex
自制小型图片采集程序(绕过防盗链)
index.php body{font-size:12px;margin:0 auto;padding:0;} p,ul,li,body,a,small,H1,H2,H3,H4,dl,dt,dd,em,form{list-style:none;font-style:normal;margin:0;padding:0;}.fColor,.fColor a{color:#
java项目防止跨站访问防止越过登录直接访问
java项目防止跨站访问防止越过登录直接访问
分享几种绕过防注入的方法
1、运用编码技术绕过如URLEncode编码,ASCII编码绕过。例如or 1=1即%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。 2、通过空格绕过如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如or' swords' ='swords',由于mssql的松散性,我们可以把or 'swords'
Struts2:禁止用户直接向指定页面发送请求
<action name="*"> <result>/WEB-INF/content/{1}.jsp</result> </action>
Java爬虫技术之绕过百度云防护抓取网站内容
大家好,我是Coody 最近做文章采集,碰到一个有经过百度云加速的网站,由于打开浏览器需要安全检查,所以针对相关机制做了一下研究,故此封装了一个HTTP工具。 本文已发布之开源中国,由于csdn用户量巨大且易于搜索引擎收录,故此分享出来希望对特定的友友有所帮助。 直接贴代码,copy下来可以直接使用 如图: 输入图片说明 首先
PHP防SQL注入不要再用addslashes和mysql_real_escape_string了
看了很多PHP网站在防SQL注入上还在使用addslashes、mysql_real_escape_string和str_replace,百度一下&quot;PHP防注入&quot;也同样在使用addslashes、mysql_real_escape_string和str_replace,觉得有必要做个博文,以提醒所有后来者绕过这个坑。
越狱检测/越狱检测绕过——xCon
原文http://blog.csdn.net/zkdemon/article/details/8242064 越狱检测/越狱检测绕过——xCon 一直忽略了越狱检测与越狱检测绕过的问题,因为我认为在app争抢装机率的环境下,是不会在乎对方的设备越狱与否的。但很显然,我忽略了一个问题,app在设计的时候或许会依照设备是否越狱而采取不同的流程,比如说对越狱的设备采取更多的安全措施,
Acesss数据库手工绕过通用代码防注入系统
渗透过程就是各种安全技术的再现过程,本次渗透从SQL注入点的发现到绕过sql注入通用代码的防注入,可以说是打开了一扇门,通过sql注入获取管理员密码,获取数据库,如果在条件允许的情况下是完全可以获取webshell。在本文中还对access数据库获取webshell等关键技术进行了总结。