我想知道我的应用程序的安全性。我只是使用树枝循环显示数据库中的所有记录。当我创建一个单独的站点来显示详细信息并且有一些按钮例如删除这个东西。通常会发生DELETE方法,并且某人只能显示自己的详细信息。但是我想有一个按钮可以在基本视图中删除特定记录,其中每个记录都显示在例如在项目标题旁边。
我无法通过CreateFormBuilder执行此操作,因为我无法从表单发送该项目的当前ID(或者我只是不知道该怎么做)。但是安全吗?每个人都可以更改button的id参数并删除其他记录。
我可以使用AJAX并只需在树枝中单击按钮,但这是相同的情况。每个人都可以改变,例如按钮中的data-id参数并删除其他记录。
在这种情况下我该怎么办?您通常如何解决此问题?
总结,我想创建一个安全按钮以删除每个显示的记录旁边的项目。
祝你有美好的一天!
答案 0 :(得分:1)
保护AJAX路由的一种方法是使用JWT(json-Web-Token)(请参见:https://jwt.io/)而不是随机字符串令牌。该令牌将用用户信息加密,以确保允许单击按钮的人做某事(并且令牌与请求一起发送到请求的标头中)。
无论如何,您都必须发送一些信息来标识要在数据库中擦除或修改的元素的ID。我将亲自实施此JWT系统,但也必须保护对您可以查看和单击这些按钮的页面的访问。这样,您可以假定用户没有恶意。
Theis捆绑包(https://github.com/lexik/LexikJWTAuthenticationBundle/blob/master/Resources/doc/index.md#getting-started)可以帮助您非常轻松地在symfony上实现此功能(我是该框架的新手,而且我在几个小时内就完成了-一件事情:如果您使用Apache,请不要这样做)别忘了在您的Apache配置中允许重写以允许symfony的.htaccess来执行其工作,否则Apache将剥离标头-这使我花了几个小时才能找出为什么事情行不通!)。
希望这会有所帮助!
答案 1 :(得分:0)