0

用户必须登录才能查看他们的信用卡信息。我想知道当时将该号码放在隐藏字段中是否安全。我必须这样做的原因是 MVC 的模型绑定。如果该字段不存在,那么我会丢失信用卡号,并且将不得不进行额外的 Web 服务调用。

提前致谢。

4

2 回答 2

11

即使将其保留在会话中也不安全。移动你的背部并正确地做。

请记住 - 任何存储和处理信用卡信息的东西都属于 PCI-DSS 法规,如果您这样做(隐藏字段),您的产品将在第一次检查时被扔出大门,希望在它产生额外的法律 + 财务之前对使用它的公司承担责任。

于 2012-11-09T13:45:58.183 回答
2

这不安全。因为任何人都可以对其进行编辑和提交。您可以将其保留在会话中。

恶意用户很容易看到和修改隐藏字段的内容。不要将任何敏感信息或您的应用程序依赖于正常工作的隐藏字段中存储。来自 MSDN

所有会话管理方法都在这里。

http://msdn.microsoft.com/en-us/library/75x4ha6s(v=vs.100).aspx

于 2012-11-09T06:03:13.667 回答