我正在开发一个基于Spring MVC的应用程序(使用tile作为视图解析器)。
应用程序有一些下拉列表,这些列表中填充了从数据库中提取的值。
下拉列表
<form:select id="idServiceUnit" path="serviceUnit" multiple="multiple"></form:select>
AJAX调用控制器(包含在单独的js文件中)
jq.ajax({
url: "/MRYWeb/getServiceUnitLookUp",
context: document.body,
success: function(data){
jq("#idServiceUnit").addOption(data,{},false,{},{});
jq("#idServiceUnit").multiselect({
noneSelectedText:"Select",
selectedList: 3,
height:150,
minWidth:195,
beforeclose:function(){
fnCustomizedTextForMultiSelect('idServiceUnit');
}
}).multiselectfilter();
}
});
/ MRYWeb / getServiceUnitLookUp是控制器的相对URL,它返回一个列表以填充下拉列表
它工作正常但是当我加载页面时,firebug实际上拦截了URL
http://i.minus.com/ieYZJj8eC6jlr.JPG
以及拦截js文件调用
http://i.minus.com/ibkGiljg3dpXUl.JPG
我们的客户认为这是一种安全风险。那么,任何人都可以通过让我了解隐藏这些URL或隐藏js调用本身来帮助我吗?
答案 0 :(得分:1)
我们的客户认为这是一种安全风险。
URL允许访问您要向用户显示的数据。在格式化数据之前,他们查看数据并不存在安全风险。
只需确保您不发送保密所需的数据,并确保执行身份验证&amp;授权时,只应将数据发送给某些用户。
所以任何人都可以通过让我了解隐藏这些URL或隐藏js调用本身来帮助我吗?
你不能。
浏览器属于用户,而不属于网络作者。如果你要求他们的浏览器做某事,那么他们就能看到它(并停止或改变它)。
答案 1 :(得分:0)
这是网络我的朋友。这是一种安全风险,但是你能摆脱这种风险的唯一方法就是脱离互联网。向他展示他的银行网站,ajax电话也在那里......
