点击“查看所有注册用户”超链接时,地址字段中会显示以下网址。
http:/localhost:8080/RegSearch.jsp?primaryRegId=20001
如果我在URL地址中将primaryRegId更改为 30909 而不是 20001 并刷新页面,则会返回其他用户
我也试过了post方法,但我们仍然可以从浏览器控制台看到。
请您告诉我如何避免这种情况?
答案 0 :(得分:0)
您不“隐藏链接中的参数”。任何请求的任何客户端参数都可以像这样欺骗。
您所做的是验证服务器上所请求数据的授权。因此,任何用户仍然可以请求任何其他用户的数据。但是在RegSearch.jsp的服务器端代码中,收到该请求后,您将验证发出请求的用户是否已授权以查看他们请求的数据。如果是,请向他们展示。如果不是,请向他们显示错误或将其重定向到其他页面。
安全性不会发生在包含链接的页面中。安全性发生在显示数据的页面中。