-1

单击“查看所有注册用户”超链接后,地址字段中会显示以下 URL。

http:/localhost:8080/RegSearch.jsp?primaryRegId=20001

如果我将 URL 地址中的30909而不是20001primaryRegId更改为并刷新页面,它将带回其他用户30909的信息的信息,这是不安全的。

我也尝试了 post 方法,但我们仍然可以从浏览器控制台看到。

你能告诉我如何避免这种情况吗?

4

1 回答 1

0

您不会“在链接中隐藏参数”。任何请求的任何客户端参数都可以像这样被欺骗。

您所做的是验证服务器上请求数据的授权。所以任何用户仍然可以请求任何其他用户的数据。但是在您的服务器端代码中RegSearch.jsp,在收到该请求后,您将验证发出请求的用户是否有权查看他们请求的数据。如果是,请向他们展示。如果不是,请向他们显示错误或将他们重定向到另一个页面。

安全不会发生在具有链接的页面中。安全性发生在显示数据的页面中。

于 2013-08-14T12:51:03.813 回答