我正在开发一个在html5和dojo中有前端的java应用程序。我使用SOAP和REST服务来制作服务调用以从下游系统获取数据。我发现的是应用程序中的潜在威胁。用户可以访问应用程序的URL,并且可以编辑URL.e.g.如果用户正在查看他的个人资料,并且他知道某个其他用户的名字,那么他可以编辑URL以将用户名从他的名字更改为其他名称,并且可以更改其他一些字段并点击该网址。同样,用户可以编辑一些敏感数据并访问机密信息。
我的问题是如何阻止用户编辑应用程序网址中的参数?
答案 0 :(得分:0)
用户选择访问的URL是客户端,无法控制。任何人都可以轻松打开一个新选项卡并键入他们想要的任何URL。
我建议使用某种服务器端安全框架来保护您的REST端点。如果您在服务器端使用Java,则可以查看类似http://shiro.apache.org/的安全信息,以免任何用户访问他们无法访问的数据。
另一个解决方案是只有一个REST端点,可以访问用户会话当前所引用的任何配置文件。