鄧義江

摘要：Web軟件開發(fā)過程中，出于軟件復(fù)用、開發(fā)便捷性、用戶界面友好性等各類實(shí)際情況的綜合考慮，常常會用到隱藏參數(shù)。隱藏參數(shù)雖然能夠讓開發(fā)的過程更加簡便、提高開發(fā)效率、提高軟件的復(fù)用性，但是也存在諸多的安全風(fēng)險，一旦處理不好，輕則讓信息系統(tǒng)的相關(guān)邏輯規(guī)則失去作用，重則會對信息系統(tǒng)的安全構(gòu)成嚴(yán)重的威脅。文章就Web開發(fā)過程中隱藏參數(shù)的定義和存在的風(fēng)險點(diǎn)以及如何應(yīng)對風(fēng)險進(jìn)行淺析。

關(guān)鍵詞：隱藏參數(shù)；風(fēng)險；安全；二次驗(yàn)證；加密

中圖分類號：TP311.1 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2024）05-0072-03

0 引言

在Web軟件開發(fā)的進(jìn)程中，為了在考慮軟件復(fù)用、便捷開發(fā)和用戶界面友好性等多方面實(shí)際情況的基礎(chǔ)上取得平衡，通常會采用隱藏參數(shù)的策略。隱藏參數(shù)的運(yùn)用雖然能夠使軟件開發(fā)變得更加簡便，提高開發(fā)效率，并增強(qiáng)軟件的可復(fù)用性，但同時也伴隨著一系列潛在的安全性風(fēng)險。如果對這些風(fēng)險處理不慎，可能會輕微地導(dǎo)致信息系統(tǒng)設(shè)計中相關(guān)邏輯規(guī)則的失效，甚至在嚴(yán)重情況下構(gòu)成對信息系統(tǒng)安全的嚴(yán)重威脅。本文將對隱藏參數(shù)的定義、作用及存在的風(fēng)險以及規(guī)避這些風(fēng)險的方法進(jìn)行深入淺出的探討。通過對這一主題的分析，將更好地理解在軟件開發(fā)過程中如何有效地利用隱藏參數(shù)，以及如何在最大程度上減少與其使用相關(guān)的潛在風(fēng)險。通過深入研究隱藏參數(shù)，能夠更全面地認(rèn)識其在提高開發(fā)效率的同時可能引發(fā)的安全性問題，并從而為開發(fā)人員提供更為全面和實(shí)用的指導(dǎo)原則。

1 隱藏參數(shù)的定義

HTML，全稱超文本標(biāo)記語言（Hypertext MarkupLanguage） ，其實(shí)質(zhì)是一種文本格式，需要通過瀏覽器的解釋來轉(zhuǎn)化為廣大用戶能夠理解的各種風(fēng)格和功能繁多的網(wǎng)頁。HTML作為一種標(biāo)記語言，通過標(biāo)簽來定義文檔的結(jié)構(gòu)和內(nèi)容，而瀏覽器則負(fù)責(zé)將這些標(biāo)記解釋為用戶友好的頁面展示[1]。在網(wǎng)頁編程的背后，核心目標(biāo)是通過編寫程序，根據(jù)用戶發(fā)起的請求，按照一定的規(guī)則動態(tài)生成相應(yīng)的HTML代碼，并將這些代碼傳送到用戶的瀏覽器進(jìn)行解析和呈現(xiàn)。這種交互過程使得網(wǎng)頁能夠根據(jù)用戶的需求動態(tài)地生成內(nèi)容，實(shí)現(xiàn)個性化和靈活的用戶體驗(yàn)。

HTML中涵蓋的元素有很多，常見的如輸入框、下拉選單、文本域、單選框、復(fù)選框等。元素又可以根據(jù)不同的標(biāo)簽擁有不同的特性，比如當(dāng)為元素加上dis?abled標(biāo)簽后，對應(yīng)的輸入框、文本域等元素就變成了禁用狀態(tài)，用戶界面上雖然能看見這些元素但是卻不能操作，表單提交后對應(yīng)元素的值也不會提交到POST中。而如果元素被加上hidden標(biāo)簽后，即成為隱藏元素，一個帶了hidden標(biāo)簽的元素不會出現(xiàn)在用戶熟知的網(wǎng)頁界面中，但是卻會出現(xiàn)在HTML 代碼中，當(dāng)用戶提交表單時，這個隱藏的輸入字段的值會被包含在表單數(shù)據(jù)中，這種帶了hidden標(biāo)簽的元素即為隱藏參數(shù)[2]。如圖1所示，id為cs的元素即為一個非常典型的隱藏參數(shù)，在用戶瀏覽界面中并沒有顯示，但是在該頁面對應(yīng)的HTML代碼中它是存在的。

2 隱藏參數(shù)的作用及存在的風(fēng)險

隱藏參數(shù)的存在多為軟件設(shè)計中簡便性、友好性及復(fù)用性的考慮。如圖1中id為cs的隱藏參數(shù)。它雖然不顯示在用戶熟知的界面中，但是該隱藏參數(shù)包含在form表單中，當(dāng)用戶點(diǎn)擊查詢按鈕提交表單時，該參數(shù)對應(yīng)的value值會以POST的形式被提交到后臺程序中，并根據(jù)需要參與后臺數(shù)據(jù)的處理。隱藏參數(shù)通常可以幫助人們更加便捷地實(shí)現(xiàn)網(wǎng)頁的分類提交、前端參數(shù)暫存等功能。

對于普通用戶而言，隱藏參數(shù)是他們難以直觀感受到的，但是對于稍有HTML基礎(chǔ)常識的人來說，這種參數(shù)則是完全暴露的，只需要打開瀏覽器的源代碼或者開發(fā)者模式即可查看。在開發(fā)者模式中，隱藏參數(shù)中的value值可以被任意修改，甚至被去掉hidden 標(biāo)簽，直接顯示到用戶界面中。如果隱藏參數(shù)的值被用戶惡意修改后再提交表單，這個被修改后的值會隨著表單的提交出現(xiàn)在POST中，進(jìn)入后臺程序的處理。這種情況下如果后臺程序沒有對隱藏參數(shù)進(jìn)行有針對性的預(yù)處理，就會造成系統(tǒng)功能紊亂甚至危及系統(tǒng)安全。

隱藏參數(shù)存在的風(fēng)險有以下幾個方面：一是不安全的信息存儲，如果敏感信息（例如API密鑰、訪問令牌等）存儲在隱藏的輸入字段中，這些信息可能被惡意用戶利用；二是容易被發(fā)現(xiàn)，隱藏的輸入字段只是在頁面上不可見，并沒有真正地隱藏，用戶可以使用瀏覽器開發(fā)者工具等工具輕松查看和修改隱藏字段的值；三是可能會被跨站請求偽造攻擊，隱藏字段可能被攻擊者用于執(zhí)行CSRF攻擊，尤其是如果隱藏字段包含有關(guān)用戶身份驗(yàn)證的信息。

3 隱藏參數(shù)風(fēng)險的應(yīng)對措施

隱藏參數(shù)的使用已經(jīng)成為提高程序開發(fā)便捷性、友好性及開發(fā)效率的不可或缺的一環(huán)。隱藏參數(shù)的簡單便捷以及高效的特性使其在實(shí)際開發(fā)中廣泛應(yīng)用。然而，需要注意的是，如果不加以適當(dāng)處理，隱藏參數(shù)的使用可能導(dǎo)致系統(tǒng)出現(xiàn)不可預(yù)知的風(fēng)險。因此，在充分利用隱藏參數(shù)的優(yōu)勢的同時，必須認(rèn)真考慮并實(shí)施一系列的安全措施，以確保系統(tǒng)的穩(wěn)定性和安全性。

首先，為了規(guī)避潛在的風(fēng)險，需要在開發(fā)過程中對隱藏參數(shù)進(jìn)行合理的處理。敏感信息，例如用戶密碼或其他私密數(shù)據(jù)，不應(yīng)該直接存儲在隱藏字段中，以免被輕易獲取。相反，可以選擇將這些敏感信息存儲在服務(wù)器端，通過一定的驗(yàn)證機(jī)制來確保其安全性。這種方式不僅有助于避免敏感信息泄露，還能夠提高系統(tǒng)的整體安全性。

其次，對于提交的表單數(shù)據(jù)，可以在服務(wù)器端進(jìn)行二次驗(yàn)證，以確保數(shù)據(jù)的合法性和完整性。這種方式能夠有效防止一些常見的安全問題，例如參數(shù)被篡改或者偽造。通過對數(shù)據(jù)進(jìn)行詳細(xì)的驗(yàn)證，能夠及時發(fā)現(xiàn)并處理潛在的安全漏洞，提高系統(tǒng)的抗攻擊能力。

此外，對隱藏參數(shù)進(jìn)行加密是另一項(xiàng)重要的安全措施。通過使用加密算法，可以有效地防止參數(shù)在傳輸過程中被竊取或者篡改。這種方式不僅保護(hù)了用戶的隱私信息，同時也提高了系統(tǒng)的整體安全水平。在選擇加密算法時，需要根據(jù)實(shí)際需求和系統(tǒng)特點(diǎn)來進(jìn)行權(quán)衡，確保選用的算法既安全可靠又不影響系統(tǒng)性能。

下面本文就從在服務(wù)器端對提交的表單數(shù)據(jù)進(jìn)行二次驗(yàn)證和對隱藏參數(shù)進(jìn)行加密兩個方面來闡述具體的應(yīng)對措施。

一是二次驗(yàn)證模式，對于隱藏參數(shù)風(fēng)險的應(yīng)對，最直接有效的方式就是在后臺處理程序中再次驗(yàn)證參數(shù)的正確性。如圖1中所示，id為cs的隱藏參數(shù)，在用戶提交表單后進(jìn)入POST處理過程中，如果加入圖2 所示代碼進(jìn)行后端驗(yàn)證：

在POST提交的過程中，后臺程序會再次核對cs 的值，如果cs的value值與后臺設(shè)定的值保持一致，則程序繼續(xù)正常執(zhí)行，輸出“ok”。而如果cs的value值被修改過，則程序不再繼續(xù)執(zhí)行，并返回錯誤提示。當(dāng)然，這種驗(yàn)證機(jī)制也有一定的局限性，因?yàn)閷?shí)際開發(fā)過程中，由于不同的頁面程序的功能不盡相同，隱藏參數(shù)值通常是多變的，如果對每一個可能的隱藏參數(shù)都去進(jìn)行二次驗(yàn)證，會極大增加后臺程序的運(yùn)算量，使隱藏參數(shù)的價值大打折扣。因此，通過二次驗(yàn)證的方式規(guī)避安全風(fēng)險僅適用于功能簡單，參數(shù)不復(fù)雜的Web開發(fā)。

二是參數(shù)加密，參數(shù)加密是一種安全措施，它通過加密程序的處理，將明文的隱藏參數(shù)轉(zhuǎn)換成密文形式。這樣一來，當(dāng)用戶啟用開發(fā)者模式查看相應(yīng)元素時，他們會看到一串看似無序、難以理解的字符，而不是直接暴露的明文內(nèi)容[3]。這種加密手段有助于提高系統(tǒng)的安全性，防止惡意用戶或未經(jīng)授權(quán)的訪問者直接獲取敏感信息。一旦用戶提交表單，后臺程序就需要通過相應(yīng)的解密程序，按照預(yù)定的加密規(guī)則將隱藏參數(shù)傳遞的密文解析為正常參數(shù)。這個解密過程是系統(tǒng)內(nèi)部的一個關(guān)鍵步驟，確保了在數(shù)據(jù)傳輸?shù)倪^程中，敏感信息得以保護(hù)，同時也保證了正常的業(yè)務(wù)邏輯和交互流程[4]。

參數(shù)加密作為一項(xiàng)安全措施，通過將隱藏參數(shù)進(jìn)行加密處理，為系統(tǒng)提供了額外的保障層，防范了潛在的信息泄露風(fēng)險。在用戶提交表單等敏感操作中，這一技術(shù)的運(yùn)用不僅有助于維護(hù)系統(tǒng)的安全性，還有助于確保數(shù)據(jù)的完整性和合法性。常見的加密方式有md5、aes等，常見的aes加密及解密函數(shù)如圖3和圖4所示。

以上代碼中，函數(shù)encryptData為加密函數(shù)，只須將需要加密的字符$data和密鑰$key傳入函數(shù)內(nèi)即可返回對應(yīng)的密文，密鑰是自定義的，可以根據(jù)用戶需求盡量復(fù)雜化。decryptData為解密函數(shù)，傳入被加密的密文$encryptedData及對應(yīng)的密鑰$key即可將密文解碼。如圖5所示即為id為cs的元素通過Encrypt函數(shù)加密后的效果。

如圖5所示，通過encryptData加密，程序?qū)D1中id為cs的隱藏參數(shù)的value值“8662021”加密成了無法識別的密文“-8vq7svo.0TI”。這種情況下，用戶如果不知道具體的加密密鑰$key，就無法確切地知道密文的真正含義。即使用戶強(qiáng)行修改了密文中的字符，在提交POST進(jìn)行解密的過程中，由于密文與加密規(guī)則不匹配，也無法解密成功，從而保障了程序的規(guī)則設(shè)置及系統(tǒng)的安全。

4 結(jié)束語

在當(dāng)今Web軟件開發(fā)的潮流中，隱藏參數(shù)作為一種常見的開發(fā)技術(shù)，廣泛應(yīng)用于軟件設(shè)計的各個方面。這種技術(shù)的采用主要出于對軟件復(fù)用、開發(fā)便捷性和用戶界面友好性等多方面實(shí)際情況的全面考慮。

隱藏參數(shù)的引入使得開發(fā)者能夠更加靈活地設(shè)計和構(gòu)建各類Web 應(yīng)用，從而提高軟件開發(fā)的效率和質(zhì)量。隱藏參數(shù)在軟件開發(fā)中的使用，最大的好處之一是實(shí)現(xiàn)了軟件復(fù)用。通過將一些通用性的參數(shù)隱藏在系統(tǒng)中，開發(fā)者可以在不同的應(yīng)用場景中反復(fù)利用這些參數(shù)，從而減少了重復(fù)勞動，提高了代碼的可維護(hù)性和可擴(kuò)展性[5]。這種復(fù)用性的設(shè)計理念不僅降低了開發(fā)成本，還加速了軟件開發(fā)周期，使得開發(fā)者能夠更加專注于應(yīng)用的創(chuàng)新和功能的實(shí)現(xiàn)。另外，隱藏參數(shù)的使用還使得軟件開發(fā)過程更加便捷。通過隱藏一些煩瑣的參數(shù)和邏輯，開發(fā)者能夠簡化代碼結(jié)構(gòu)，提高代碼的可讀性和易維護(hù)性。這種簡便性不僅減輕了開發(fā)者的工作負(fù)擔(dān)，還使得團(tuán)隊(duì)協(xié)作更加高效。同時，用戶界面的友好性也得到了提升，因?yàn)殡[藏參數(shù)的使用能夠簡化用戶與系統(tǒng)的交互過程，使得用戶體驗(yàn)更加流暢。

然而，盡管隱藏參數(shù)在提升開發(fā)效率和改善用戶體驗(yàn)方面具有顯著優(yōu)勢，但它也伴隨著一系列的安全性風(fēng)險。如果這些風(fēng)險得不到妥善處理，可能會對信息系統(tǒng)的設(shè)計和整體安全性造成嚴(yán)重威脅。但只要在開發(fā)過程中考慮完善，針對可以預(yù)見的各種情況去想辦法避免風(fēng)險的發(fā)生，如敏感信息不存儲在隱藏字段中、使用在服務(wù)器端對提交的表單數(shù)據(jù)進(jìn)行二次驗(yàn)證或者對隱藏參數(shù)進(jìn)行加密等措施，避免明文傳輸，則不但能夠很好地利用隱藏參數(shù)的特性，同時能夠最大程度地規(guī)避相關(guān)的安全風(fēng)險。

參考文獻(xiàn)：

[1] 陸鉆.基于HTML5和CSS3網(wǎng)頁布局技術(shù)應(yīng)用[J].無線互聯(lián)科技，2016（10）：128-129，140.

[2] 畢曉明.簡析HTML5在移動互聯(lián)網(wǎng)開發(fā)中的應(yīng)用[J].軟件工程，2016，19（2）：41-42.

[3] 白蕾，郭清菊.HTML5與CSS3的設(shè)計模式[J].智能計算機(jī)與應(yīng)用，2016，6（2）：104-105，109.

[4] 姜玉龍.淺析HTML5的技術(shù)與應(yīng)用模式[J].無線互聯(lián)科技，2016（22）：146-148.

[5] 曾曉娟.Html5-app手機(jī)網(wǎng)站開發(fā)技巧的應(yīng)用[J].辦公自動化，2016，21（18）：55-56，25.

【通聯(lián)編輯：謝媛媛】