我在遗留Java应用程序上面临一些安全问题。有没有办法确定我的代码(HTML或脚本)已被客户端上的开发人员工具更改,所以我可以停止表单提交或执行任何其他任务?
答案 0 :(得分:0)
您无法阻止此类修改,但您可以做的是进行一些服务器端安全检查以防止此类伪造。
您可以在表单中添加隐藏输入,其中包含表示基本表单数据的哈希标记(例如键(entity_id + user_id))或您希望确保未更改的任何内容。
在这种情况下,提交表单时,您可以确保在对隐藏的输入令牌进行去散后,确保用户正在编辑的实体ID(或任何其他数据)在提交的值与提交的值匹配的情况下未更改令牌去散列,并且用户已经编辑了他只应编辑的元素。