-2

假设我有一个用户列表,并且每一行都有一个 id。每行都有一个编辑按钮。单击编辑按钮后,我想显示用户信息。现在我在 url 中将 id 作为参数传递。出于安全原因,我想避免这种情况,因为并非所有人都应该查看所有 ID。我在想我应该能够在单击编辑按钮时设置一个会话变量,这样当我的视图加载时,它就可以从会话中加载 id。单击编辑按钮时如何设置会话变量的任何想法。有更好的选择吗?

提前致谢。SK

4

1 回答 1

0

在 URL 中传递 id 不是安全问题。不检查当前用户是否被允许访问给定的 id是一个安全问题。您需要一个身份验证系统。如果不允许访问特定 id 的人尝试这样做,您会以403 ForbiddenHTTP 状态拒绝请求并且不输出信息。

即使会话中有服务器端状态(这严重破坏了 HTTP 请求的幂等性),您仍然需要这样的系统,因为您需要以某种方式在会话中设置 id,并且需要验证是否允许用户设置会话到某个 id。

于 2012-12-03T10:07:26.683 回答