我正在使用路由系统。您可以使用 url 进行一些快速更新等,而无需为其创建页面。我相信这是非常有效的。不过,我怎样才能防止用户滥用它呢?
此行更新用户帐户:
http://localhost:8080/Basic/Route/User/update/permissions>1/29
类:用户
方法:更新
设置权限 => 1
其中 id 为 29
它工作得很好,但任何用户都可以在他的 URL 中键入它,如果他知道系统的工作方式。
有什么方法可以防止像这样的误用吗?
谢谢!
user7619335
问问题
40 次
2 回答
1
您应该实施用户身份验证,然后检查用户是否已登录以及他是否具有所需的权限。我没有看到任何其他更简单的方法。
于 2017-02-25T16:43:03.677 回答
1
添加一个CSRF 令牌,它可能会很好。我也会提出一个POST请求,而不是GET如果它还没有。
如果您不以这种方式保护您的 URL/表单,用户可能会被诱骗执行他们不打算执行的操作(例如,通过访问来自另一个网站的链接或电子邮件)。
于 2017-02-25T16:55:50.063 回答