为了构建一个包含大量信息的实体,我需要执行一系列表单提交。每次我从控制器返回视图时,我都需要传递一些关于尚未建立实体的 id。现在我将这些信息注入隐藏字段,并在回发到服务器时继续构建实体。这种情况持续了几次。我对这种传递敏感信息的方式非常不满意,想知道是否还有其他更合适的方式。我使用授权和身份验证,但仍然担心在某些情况下,一个用户可能会破解这些 id,然后再将其发送回服务器,然后修改错误的实体。
此外,来回传递相同的数据似乎是一种艰苦的工作。我取消了使用会话的资格,因为它揭示了另一种数据中断威胁。(如果一次使用多个浏览器)。
我应该如何执行上述操作?
您可以使用另一个隐藏字段中数据的安全散列来检测对值的篡改。
这是如何生成加密安全哈希的示例http://www.bytemycode.com/snippets/snippet/379/
您可以使用多种方法保护您的数据,我在这篇文章中讨论了其中一些方法
http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html
http://miroprocessordev.blogspot.com/2012/03/safe-aspnet-mvc-application-against.html
使用带有令牌的跨站点请求伪造来识别每次您发送信息时,它都包含在服务器端生成并从您的 html 返回的相同令牌