我有一个相当复杂的对象foo。
在我看来,我列出了这些对象,因此用户可以看到所有这些对象,每个对象都只提供有关其标题描述和状态的最基本信息。
每个都有一个编辑按钮,当点击该按钮时,我试图在页面上预先填充一个表单供他们编辑,但我没有在页面上有关于该对象的所有信息所以我是要进行ajax调用并获取对象的JSON表示。所以我可以用JSON填写表单。
所以我的问题是,如果我将对象id隐藏在div的类或id中,那么我可以将其与ajax调用一起传递,这被认为是不良的练习/安全漏洞?由于用户可以在看到html时看到id。
<c:forEach var="foo" item="${foos}">
<div class="foo-${foo.id}">
<span>${foo.title}</span>
<span>${foo.description}</span>
<span>${foo.status}</span>
<a class="edit-btn" href="#">Edit</a>
</div>
</c:forEach>
答案 0 :(得分:-1)
根据@musefan和@mastov的评论,可以做到这一点。将它放在数据属性中可能是更好的做法。如果你对谁能看到什么有任何限制,那么最好还是做一些服务器端验证。