用例是 - 用户将请求一些数据,用户可以编辑该数据,用户可以在服务器端保留数据。在这种情况下,我希望拥有一些完整的数据。合法使用可以通过在JSON数据中放置一些恶意值(用户在富文本编辑器中编辑)来重新发送Developer工具的请求。
要解决此问题,我使用的方法是计算JSON数据的MD5 / SHA256并将该哈希与数据一起发送,并在服务器端重新计算数据中的哈希值,并将该哈希值与输入哈希值进行比较。为了使其变得困难,我在生成哈希时使用salt。我使用的方法是当用户登录时创建一个Salt并将其存储在用户的会话中。当用户请求页面时,我将在ModalMap中发送Salt。当用户发送持久化JSON数据的请求时,我将使用salt +数据生成哈希
现在,我的问题是我希望盐对用户隐藏。用户可以从页面源看到EL评估的属性,对于scriptlet或jstl也是如此。
那么,有没有办法在JSP页面上秘密访问某些属性?
据我所知,当解析JSP时,所有这些标记都会被评估。
JS的缩小会使查找起来变得困难,但检索盐值是不可能的。
我也明白我应该在服务器端有这样的逻辑,但要求阻止我这样做。
如果我无法秘密访问属性,那么还有其他方法吗?。
我这里没有包含任何源代码,因为它是通用的。