我想显示当前用户的个人资料。
我有这个链接:
<g:link controller="User" action="show" id=>Profile</g:link>
我是怎么做的
问问题
238 次
2 回答
4
如果您想要当前用户,那么您可能不应该依赖在 URL 中传递用户 ID,而是使用您的安全层提供的任何机制来获取控制器中的登录用户 ID。
如果您的控制器只是显示在 URL 中传递的任何用户 ID 的配置文件,那么恶意攻击者可以修改 URL 并查看不同用户的配置文件。为了防止这种情况发生,您需要将 URL 中的 id 与您的安全框架认为已登录的 id 进行比较,此时您也可以使用框架首先为您提供的那个。
于 2013-05-30T07:21:57.937 回答
-1
将当前用户的配置文件 ID 作为属性值发送
<g:link controller="User" action="show" id="${currentUser.id}">Profile</g:link>
于 2013-05-30T06:33:28.657 回答