目前我的任务是为学生调试一个提问客户端,最近我遇到了一些可能是潜在安全故障的问题。每个测验或测试都有相同的命名约定示例:S1Q1.js=第1节测验1
Javascript测试文件(AKA S1Q1.js)只是一个提交到服务器的表格,所以我并不担心,但在学生提交表格后,它会被评分,并被带到一个评论页面,在那里有反馈解释为什么正确答案是正确的。复习文件总是后面有R的测验文件,所以它应该是S1Q1R.js。如果学生能够在考试结束前下载复习文件,那么他们很容易就会得到100分。
可能的安全问题来自于遵循严格模式的审查文件名。我担心学生可能只需知道URL和文件名就可以从服务器请求S1Q1R.js文件注意进入评论页面的唯一方法是点击提交测试按钮,如果您手动输入URL,它会将您重定向到主页结束注意
那么我有什么要担心的吗?如果一个学生能做到这一点,他们会怎么做,更重要的是,我会怎么阻止他们?
好吧,如果你不想让他们获得评审文件,那么它就不应该上传到公共html目录。它需要存储在专用目录中,在执行特定操作之前无法访问。您可能还想通过每个学生的唯一URL来调用复习文件内容。我想说这是一个问题,因为,是的,有人很容易弄清楚。:)