是没有通过浏览器“发送”name=的输入字段。

Question

没有name属性的输入字段是否容易受到MITM攻击(w/ or )或任何其他攻击的影响？

例如：

<form action="" method="post">
    <label for="credit_card_number"><input id="credit_card_number" type="text" value="4111111111111111"></label>
    <button type="submit">Submit</button>
</form>

我所做的是使用javascript获取值，然后将其发送到stripe.js，接收一个令牌，然后清除CC字段的所有值(尽管在我的测试中从未发送这些值)，然后才将表单提交给服务器(令牌字段是唯一接收到的东西)。

我知道SSL是一个“好主意”，但是否有必要防止攻击(如MITM)？还有“为什么”如果这个案子。

Answer 1

HTML规范说，只有当表单字段与name属性配对时，表单字段才会被认为是有效的，因此浏览器不应该提交没有名称的表单字段(因为无法将其解析为查询字符串)。

这实际上与MITM攻击无关；您总是希望通过HTTPS向您的页面提供服务，以减少有人拦截请求和修改支付页面以获取详细信息并将其发送到其他地方的可能性。

Answer 2

如果表单没有SSL提供，那么MITM攻击就可以将JavaScript注入其中。然后，JavaScript可以读取表单控件(即使它们没有名称属性)并将它们发送给攻击者。

如果您有要输入敏感信息的表单，则必须对页面进行保护。