鄧義江

摘要：Web軟件開發(fā)過程中，出于軟件復用、開發(fā)便捷性、用戶界面友好性等各類實際情況的綜合考慮，常常會用到隱藏參數(shù)。隱藏參數(shù)雖然能夠讓開發(fā)的過程更加簡便、提高開發(fā)效率、提高軟件的復用性，但是也存在諸多的安全風險，一旦處理不好，輕則讓信息系統(tǒng)的相關邏輯規(guī)則失去作用，重則會對信息系統(tǒng)的安全構(gòu)成嚴重的威脅。文章就Web開發(fā)過程中隱藏參數(shù)的定義和存在的風險點以及如何應對風險進行淺析。

關鍵詞：隱藏參數(shù)；風險；安全；二次驗證；加密

中圖分類號：TP311.1 文獻標識碼：A

文章編號：1009-3044（2024）05-0072-03

0 引言

在Web軟件開發(fā)的進程中，為了在考慮軟件復用、便捷開發(fā)和用戶界面友好性等多方面實際情況的基礎上取得平衡，通常會采用隱藏參數(shù)的策略。隱藏參數(shù)的運用雖然能夠使軟件開發(fā)變得更加簡便，提高開發(fā)效率，并增強軟件的可復用性，但同時也伴隨著一系列潛在的安全性風險。如果對這些風險處理不慎，可能會輕微地導致信息系統(tǒng)設計中相關邏輯規(guī)則的失效，甚至在嚴重情況下構(gòu)成對信息系統(tǒng)安全的嚴重威脅。本文將對隱藏參數(shù)的定義、作用及存在的風險以及規(guī)避這些風險的方法進行深入淺出的探討。通過對這一主題的分析，將更好地理解在軟件開發(fā)過程中如何有效地利用隱藏參數(shù)，以及如何在最大程度上減少與其使用相關的潛在風險。通過深入研究隱藏參數(shù)，能夠更全面地認識其在提高開發(fā)效率的同時可能引發(fā)的安全性問題，并從而為開發(fā)人員提供更為全面和實用的指導原則。

1 隱藏參數(shù)的定義

HTML，全稱超文本標記語言（Hypertext MarkupLanguage） ，其實質(zhì)是一種文本格式，需要通過瀏覽器的解釋來轉(zhuǎn)化為廣大用戶能夠理解的各種風格和功能繁多的網(wǎng)頁。HTML作為一種標記語言，通過標簽來定義文檔的結(jié)構(gòu)和內(nèi)容，而瀏覽器則負責將這些標記解釋為用戶友好的頁面展示[1]。在網(wǎng)頁編程的背后，核心目標是通過編寫程序，根據(jù)用戶發(fā)起的請求，按照一定的規(guī)則動態(tài)生成相應的HTML代碼，并將這些代碼傳送到用戶的瀏覽器進行解析和呈現(xiàn)。這種交互過程使得網(wǎng)頁能夠根據(jù)用戶的需求動態(tài)地生成內(nèi)容，實現(xiàn)個性化和靈活的用戶體驗。

HTML中涵蓋的元素有很多，常見的如輸入框、下拉選單、文本域、單選框、復選框等。元素又可以根據(jù)不同的標簽擁有不同的特性，比如當為元素加上dis?abled標簽后，對應的輸入框、文本域等元素就變成了禁用狀態(tài)，用戶界面上雖然能看見這些元素但是卻不能操作，表單提交后對應元素的值也不會提交到POST中。而如果元素被加上hidden標簽后，即成為隱藏元素，一個帶了hidden標簽的元素不會出現(xiàn)在用戶熟知的網(wǎng)頁界面中，但是卻會出現(xiàn)在HTML 代碼中，當用戶提交表單時，這個隱藏的輸入字段的值會被包含在表單數(shù)據(jù)中，這種帶了hidden標簽的元素即為隱藏參數(shù)[2]。如圖1所示，id為cs的元素即為一個非常典型的隱藏參數(shù)，在用戶瀏覽界面中并沒有顯示，但是在該頁面對應的HTML代碼中它是存在的。

2 隱藏參數(shù)的作用及存在的風險

隱藏參數(shù)的存在多為軟件設計中簡便性、友好性及復用性的考慮。如圖1中id為cs的隱藏參數(shù)。它雖然不顯示在用戶熟知的界面中，但是該隱藏參數(shù)包含在form表單中，當用戶點擊查詢按鈕提交表單時，該參數(shù)對應的value值會以POST的形式被提交到后臺程序中，并根據(jù)需要參與后臺數(shù)據(jù)的處理。隱藏參數(shù)通常可以幫助人們更加便捷地實現(xiàn)網(wǎng)頁的分類提交、前端參數(shù)暫存等功能。

對于普通用戶而言，隱藏參數(shù)是他們難以直觀感受到的，但是對于稍有HTML基礎常識的人來說，這種參數(shù)則是完全暴露的，只需要打開瀏覽器的源代碼或者開發(fā)者模式即可查看。在開發(fā)者模式中，隱藏參數(shù)中的value值可以被任意修改，甚至被去掉hidden 標簽，直接顯示到用戶界面中。如果隱藏參數(shù)的值被用戶惡意修改后再提交表單，這個被修改后的值會隨著表單的提交出現(xiàn)在POST中，進入后臺程序的處理。這種情況下如果后臺程序沒有對隱藏參數(shù)進行有針對性的預處理，就會造成系統(tǒng)功能紊亂甚至危及系統(tǒng)安全。

隱藏參數(shù)存在的風險有以下幾個方面：一是不安全的信息存儲，如果敏感信息（例如API密鑰、訪問令牌等）存儲在隱藏的輸入字段中，這些信息可能被惡意用戶利用；二是容易被發(fā)現(xiàn)，隱藏的輸入字段只是在頁面上不可見，并沒有真正地隱藏，用戶可以使用瀏覽器開發(fā)者工具等工具輕松查看和修改隱藏字段的值；三是可能會被跨站請求偽造攻擊，隱藏字段可能被攻擊者用于執(zhí)行CSRF攻擊，尤其是如果隱藏字段包含有關用戶身份驗證的信息。

3 隱藏參數(shù)風險的應對措施

隱藏參數(shù)的使用已經(jīng)成為提高程序開發(fā)便捷性、友好性及開發(fā)效率的不可或缺的一環(huán)。隱藏參數(shù)的簡單便捷以及高效的特性使其在實際開發(fā)中廣泛應用。然而，需要注意的是，如果不加以適當處理，隱藏參數(shù)的使用可能導致系統(tǒng)出現(xiàn)不可預知的風險。因此，在充分利用隱藏參數(shù)的優(yōu)勢的同時，必須認真考慮并實施一系列的安全措施，以確保系統(tǒng)的穩(wěn)定性和安全性。

首先，為了規(guī)避潛在的風險，需要在開發(fā)過程中對隱藏參數(shù)進行合理的處理。敏感信息，例如用戶密碼或其他私密數(shù)據(jù)，不應該直接存儲在隱藏字段中，以免被輕易獲取。相反，可以選擇將這些敏感信息存儲在服務器端，通過一定的驗證機制來確保其安全性。這種方式不僅有助于避免敏感信息泄露，還能夠提高系統(tǒng)的整體安全性。

其次，對于提交的表單數(shù)據(jù)，可以在服務器端進行二次驗證，以確保數(shù)據(jù)的合法性和完整性。這種方式能夠有效防止一些常見的安全問題，例如參數(shù)被篡改或者偽造。通過對數(shù)據(jù)進行詳細的驗證，能夠及時發(fā)現(xiàn)并處理潛在的安全漏洞，提高系統(tǒng)的抗攻擊能力。

此外，對隱藏參數(shù)進行加密是另一項重要的安全措施。通過使用加密算法，可以有效地防止參數(shù)在傳輸過程中被竊取或者篡改。這種方式不僅保護了用戶的隱私信息，同時也提高了系統(tǒng)的整體安全水平。在選擇加密算法時，需要根據(jù)實際需求和系統(tǒng)特點來進行權(quán)衡，確保選用的算法既安全可靠又不影響系統(tǒng)性能。

下面本文就從在服務器端對提交的表單數(shù)據(jù)進行二次驗證和對隱藏參數(shù)進行加密兩個方面來闡述具體的應對措施。

一是二次驗證模式，對于隱藏參數(shù)風險的應對，最直接有效的方式就是在后臺處理程序中再次驗證參數(shù)的正確性。如圖1中所示，id為cs的隱藏參數(shù)，在用戶提交表單后進入POST處理過程中，如果加入圖2 所示代碼進行后端驗證：

在POST提交的過程中，后臺程序會再次核對cs 的值，如果cs的value值與后臺設定的值保持一致，則程序繼續(xù)正常執(zhí)行，輸出“ok”。而如果cs的value值被修改過，則程序不再繼續(xù)執(zhí)行，并返回錯誤提示。當然，這種驗證機制也有一定的局限性，因為實際開發(fā)過程中，由于不同的頁面程序的功能不盡相同，隱藏參數(shù)值通常是多變的，如果對每一個可能的隱藏參數(shù)都去進行二次驗證，會極大增加后臺程序的運算量，使隱藏參數(shù)的價值大打折扣。因此，通過二次驗證的方式規(guī)避安全風險僅適用于功能簡單，參數(shù)不復雜的Web開發(fā)。

二是參數(shù)加密，參數(shù)加密是一種安全措施，它通過加密程序的處理，將明文的隱藏參數(shù)轉(zhuǎn)換成密文形式。這樣一來，當用戶啟用開發(fā)者模式查看相應元素時，他們會看到一串看似無序、難以理解的字符，而不是直接暴露的明文內(nèi)容[3]。這種加密手段有助于提高系統(tǒng)的安全性，防止惡意用戶或未經(jīng)授權(quán)的訪問者直接獲取敏感信息。一旦用戶提交表單，后臺程序就需要通過相應的解密程序，按照預定的加密規(guī)則將隱藏參數(shù)傳遞的密文解析為正常參數(shù)。這個解密過程是系統(tǒng)內(nèi)部的一個關鍵步驟，確保了在數(shù)據(jù)傳輸?shù)倪^程中，敏感信息得以保護，同時也保證了正常的業(yè)務邏輯和交互流程[4]。

參數(shù)加密作為一項安全措施，通過將隱藏參數(shù)進行加密處理，為系統(tǒng)提供了額外的保障層，防范了潛在的信息泄露風險。在用戶提交表單等敏感操作中，這一技術的運用不僅有助于維護系統(tǒng)的安全性，還有助于確保數(shù)據(jù)的完整性和合法性。常見的加密方式有md5、aes等，常見的aes加密及解密函數(shù)如圖3和圖4所示。

以上代碼中，函數(shù)encryptData為加密函數(shù)，只須將需要加密的字符$data和密鑰$key傳入函數(shù)內(nèi)即可返回對應的密文，密鑰是自定義的，可以根據(jù)用戶需求盡量復雜化。decryptData為解密函數(shù)，傳入被加密的密文$encryptedData及對應的密鑰$key即可將密文解碼。如圖5所示即為id為cs的元素通過Encrypt函數(shù)加密后的效果。

如圖5所示，通過encryptData加密，程序?qū)D1中id為cs的隱藏參數(shù)的value值“8662021”加密成了無法識別的密文“-8vq7svo.0TI”。這種情況下，用戶如果不知道具體的加密密鑰$key，就無法確切地知道密文的真正含義。即使用戶強行修改了密文中的字符，在提交POST進行解密的過程中，由于密文與加密規(guī)則不匹配，也無法解密成功，從而保障了程序的規(guī)則設置及系統(tǒng)的安全。

4 結(jié)束語

在當今Web軟件開發(fā)的潮流中，隱藏參數(shù)作為一種常見的開發(fā)技術，廣泛應用于軟件設計的各個方面。這種技術的采用主要出于對軟件復用、開發(fā)便捷性和用戶界面友好性等多方面實際情況的全面考慮。

隱藏參數(shù)的引入使得開發(fā)者能夠更加靈活地設計和構(gòu)建各類Web 應用，從而提高軟件開發(fā)的效率和質(zhì)量。隱藏參數(shù)在軟件開發(fā)中的使用，最大的好處之一是實現(xiàn)了軟件復用。通過將一些通用性的參數(shù)隱藏在系統(tǒng)中，開發(fā)者可以在不同的應用場景中反復利用這些參數(shù)，從而減少了重復勞動，提高了代碼的可維護性和可擴展性[5]。這種復用性的設計理念不僅降低了開發(fā)成本，還加速了軟件開發(fā)周期，使得開發(fā)者能夠更加專注于應用的創(chuàng)新和功能的實現(xiàn)。另外，隱藏參數(shù)的使用還使得軟件開發(fā)過程更加便捷。通過隱藏一些煩瑣的參數(shù)和邏輯，開發(fā)者能夠簡化代碼結(jié)構(gòu)，提高代碼的可讀性和易維護性。這種簡便性不僅減輕了開發(fā)者的工作負擔，還使得團隊協(xié)作更加高效。同時，用戶界面的友好性也得到了提升，因為隱藏參數(shù)的使用能夠簡化用戶與系統(tǒng)的交互過程，使得用戶體驗更加流暢。

然而，盡管隱藏參數(shù)在提升開發(fā)效率和改善用戶體驗方面具有顯著優(yōu)勢，但它也伴隨著一系列的安全性風險。如果這些風險得不到妥善處理，可能會對信息系統(tǒng)的設計和整體安全性造成嚴重威脅。但只要在開發(fā)過程中考慮完善，針對可以預見的各種情況去想辦法避免風險的發(fā)生，如敏感信息不存儲在隱藏字段中、使用在服務器端對提交的表單數(shù)據(jù)進行二次驗證或者對隱藏參數(shù)進行加密等措施，避免明文傳輸，則不但能夠很好地利用隱藏參數(shù)的特性，同時能夠最大程度地規(guī)避相關的安全風險。

參考文獻：

[1] 陸鉆.基于HTML5和CSS3網(wǎng)頁布局技術應用[J].無線互聯(lián)科技，2016（10）：128-129，140.

[2] 畢曉明.簡析HTML5在移動互聯(lián)網(wǎng)開發(fā)中的應用[J].軟件工程，2016，19（2）：41-42.

[3] 白蕾，郭清菊.HTML5與CSS3的設計模式[J].智能計算機與應用，2016，6（2）：104-105，109.

[4] 姜玉龍.淺析HTML5的技術與應用模式[J].無線互聯(lián)科技，2016（22）：146-148.

[5] 曾曉娟.Html5-app手機網(wǎng)站開發(fā)技巧的應用[J].辦公自動化，2016，21（18）：55-56，25.

【通聯(lián)編輯：謝媛媛】