我想知道我的网络应用程序的安全性。我有两个问题,希望你能帮助我。
我正在使用一个游戏框架(支持休息);我的一些REST路线如下所示:
GET /mailbox/user/{userId} Application.getMailboxMessages
我对这个案子有两个问题
1。将userId置于我的路线中是否会造成安全风险? (从服务器中的会话中获取userId并且根本没有传递userId是我应该做的吗?)
第一个网址引导我将userId放入我的javascript文件中。
$.ajax({
type:"GET",
url:"/mailbox/user/"+window.userId,
success : function() {....}
})
2。将userId置于javascript中是否存在安全隐患?
3。与使用ajax进行交互的其他用户ID会发生什么,我也应该对它们做些什么吗? 例如:
$.ajax({
type: "POST",
url : "/sendMessage/userFrom/"window.userId+"/userTo/"+ someTargetUserVar ,
success: function() {//update some gui here}
})
谢谢
答案 0 :(得分:2)
广告。 1.放置userId基本上没问题,这不是安全风险(但显然你可以从后端的会话中获取它,有时URL会议是使用像/ mailbox / user / self这样的链接
广告。 2.如上所述,没关系。
广告。 3.如果给定的请求仅对已记录的用户有效,则要么验证该请求并返回非当前用户的id的错误代码,要么不在URL中传递id,只需从会话中获取它然后使用/ mailbox / user / self以明确API用户的意图。