如何阻止攻击者修改网址中的资源?如果我需要创建允许用户指定的合法资源名称列表,并且只允许用户从列表中进行选择,那么在URL API的情况下如何执行此操作?
我有URL url = new URL(urlName);
答案 0 :(得分:0)
您可以考虑声明一个常量。
静态最终字符串URL_CHOICE1_EXAMPLE = http://www.actual.URL.forExample;
然后让他们从字符串“URL_CHOICE1_EXAMPLE”的名称中选择,而不是实际的URL值。
不确定你的UI是什么,但是你是否可以使用选项列表,组合框,列表框等,这也可以解决问题。理想情况下使用两者。 Final会阻止值被覆盖。
希望有所帮助。