为了构建一个包含大量信息的实体,我需要执行一系列表单提交。每次我从控制器返回一个视图时,我都需要传递一些关于尚未建立的实体的id。现在我将这些信息注入隐藏字段,当回发到服务器时,继续构建实体。 这种情况持续了几次。 我对这种传递敏感信息的方式非常满意,并且想知道是否还有其他更合适的方法。我使用授权和身份验证,但仍然担心一些用户可以在将这些id发送回服务器之前破解这些id的情况,并且修改错误的实体。
此外,来回传递相同数据似乎也很艰苦。我取消了会话的使用资格,因为它揭示了一种不同类型的数据中断威胁。 (如果一次使用多个浏览器)。
我应该如何执行上述操作?
答案 0 :(得分:2)
您可以在另一个隐藏字段中使用数据的安全哈希来检测对值的篡改。
以下是如何生成加密安全散列http://www.bytemycode.com/snippets/snippet/379/
的示例答案 1 :(得分:0)
您可以使用多种方法保护您的数据,我在本文中讨论了其中一些
http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html
http://miroprocessordev.blogspot.com/2012/03/safe-aspnet-mvc-application-against.html
答案 2 :(得分:0)
使用带有令牌的跨站点请求伪造来识别每次发送包含在服务器端生成并从您的html返回的相同令牌的信息