最终用户有权从他点击删除的网格中删除一行,并且在到达服务器之前将形成请求(url)我将通过burp suite工具拦截我将从删除到复制的操作更改为在服务器端调用删除操作它会调用复制方法,所以如何避免这些我知道我需要再次做一个服务器端验证,以克服该用户是否具有删除,添加,编辑,复制权限。 我有很多页面,所以我没有任何其他方法来克服这个问题而不是服务器端验证
我正在使用的框架 1)结构 2)EJB
以下是参考网址 userAction = deleteResource&安培;表格名称= csm_SearchCriteria&安培; documentId = listresources.application&安培; previousFrame = listresources&安培;帧= editresource&安培;资源名称= EMA_BUSINESS_RULE&安培; FW_SYS_ID = 54b7c8a0e9ee43ef8649e6e54ddc6f32
拦截url后修改动作,我将再次转发请求。 userAction = copyResource&安培;表格名称= csm_SearchCriteria&安培; documentId = listresources.application&安培; previousFrame = listresources&安培;帧= editresource&安培;资源名称= EMA_BUSINESS_RULE&安培; FW_SYS_ID = 54b7c8a0e9ee43ef8649e6e54ddc6f32
任何人都可以建议如何过来这个场景
答案 0 :(得分:2)
如果用户不能复制该行,则必须在服务器上强制执行访问控制。由于客户端可以按照您在Burp示例中正确描述的内容发送任何内容,因此您无法在客户端上阻止此操作。
理论上,您可以在客户端上存储状态,例如加密/签名的用户访问权限以及时间戳等,这样您就不必在服务器上再次查询,但一方面,它会增加风险,另一方面,您仍然需要在服务器上强制执行每个操作的访问控制规则。
改善安全性很难。考虑到安全性,设计和实现应用程序是值得的。