我想知道我的 Web 应用程序的安全性。我有两个问题,希望你能帮我解答
我正在使用一个游戏框架(支持休息);我的一些 REST 路由如下所示:
GET /mailbox/user/{userId} Application.getMailboxMessages
关于那个案子,我有两个问题
1. 将其放置userId
在我的路线中会带来安全风险吗?(userId
从服务器中的会话中获取并且根本不通过userId
是我应该做的吗?)
第一个 url 引导我将其userId
放在我的 javascript 文件中。
$.ajax({
type:"GET",
url:"/mailbox/user/"+window.userId,
success : function() {....}
})
2. 放置userId
在 javascript 中是否存在安全风险?
3. 还有我使用 ajax 与之交互的其他用户 ID 会发生什么,我也应该对它们做些什么吗?例如:
$.ajax({
type: "POST",
url : "/sendMessage/userFrom/"window.userId+"/userTo/"+ someTargetUserVar ,
success: function() {//update some gui here}
})
谢谢你