假设我有一个用户列表,并且每行都有一个id。每行都有一个编辑按钮。单击编辑按钮后,我想显示用户信息。现在我将id作为paralter传递给url。出于安全原因,我想避免这种情况,因为并非所有人都应该查看所有ID。我想我应该能够在单击编辑按钮时设置会话变量,这样当我的视图加载时,它可以从会话中获取要加载的id。 知道如何在单击编辑按钮时设置会话变量。 有更好的选择吗?
提前致谢。 SK
答案 0 :(得分:0)
在URL中传递ID不是安全问题。 不检查当前用户是否允许访问给定ID 是一个安全问题。您需要身份验证系统。如果某个不允许访问特定ID的人尝试这样做,则拒绝具有403 Forbidden HTTP状态的请求,并且不输出该信息。
即使会话中存在服务器端状态(严重破坏了HTTP请求的幂等性质),仍然需要这样的系统,因为您需要以某种方式在会话中设置id并且需要验证是否允许用户将会话设置为某个id。