技术用户破坏了JSP页面的安全性

Question

我在JSP页面中实现了字段基础安全性。

如果该字段仅供用户阅读，我将属性 readonly =“true”;

但是有些用户是技术用户，他们在Firefox或相关工具中了解firebug，使用这些工具，他们从dom中删除了只读属性并更改了字段的值。

我该如何控制？或任何其他机制？

Answer 1

您不能对用户修改您提供的文档做任何事情。您发送给客户的任何内容都在他们无法控制的范围内。

但是，您可以采取一些技巧来避免或检测此类参数篡改：

• 避免：您对可用客户端的参数越少，可以篡改的参数就越少。如果您不希望更改某个参数（可能是任何隐藏的表单字段），请不要将其发送到客户端，而是将其保留在服务器端。您可以将这些参数存储在客户端会话中的某种容器中，并将其与当前表单相关联。然后发送到客户端的唯一信息是引用服务器端存储参数的容器的随机标识符。
• 检测：您可以使用加密哈希函数（如MAC）来验证客户端返回的数据是否与发送给它的数据相同。但请注意，这仍然允许replay attacks。