1

我想知道我的 Web 应用程序的安全性。我有两个问题,希望你能帮我解答

我正在使用一个游戏框架(支持休息);我的一些 REST 路由如下所示:

GET  /mailbox/user/{userId} Application.getMailboxMessages

关于那个案子,我有两个问题

1. 将其放置userId在我的路线中会带来安全风险吗?(userId从服务器中的会话中获取并且根本不通过userId是我应该做的吗?)

第一个 url 引导我将其userId放在我的 javascript 文件中。

$.ajax({
    type:"GET",
    url:"/mailbox/user/"+window.userId, 
    success : function() {....}
})

2. 放置userId在 javascript 中是否存在安全风险?

3. 还有我使用 ajax 与之交互的其他用户 ID 会发生什么,我也应该对它们做些什么吗?例如:

$.ajax({
   type: "POST", 
   url : "/sendMessage/userFrom/"window.userId+"/userTo/"+ someTargetUserVar ,
   success: function() {//update some gui here}
})

谢谢你

4

1 回答 1

2

广告。1. 放置userId基本没问题,不存在安全风险(但显然可以从后端的session中获取,有时URL约定是使用/mailbox/user/self之类的链接

广告。2.如上,就ok了。

广告。3. 如果给定请求仅对登录用户有效,则验证该请求并返回非当前用户 id 的错误代码或不在 url 中传递 id,只需从会话中获取它,然后使用 /mailbox/user /self 以明确您对 API 用户的意图。

于 2013-05-06T19:35:14.040 回答