我有一段代码,可以通过检查URL引荐来阻止对网页的黑客攻击
if (filterContext.RequestContext.HttpContext.Request.UrlReferrer == null)
{
// redirect somewhere else
}
理想情况下,只需更改ID(因此,人/ 1,人/ 2等)即可阻止某人查看记录详细信息页面
现在,如果引用者没有被浏览器剥离,那么这很好,但是如果它被删除了。根本没有解决方法吗?
我正在使用C#MVC
答案 0 :(得分:0)
没有解决方法,它可能存在或不存在但是url ref并不是一种安全机制。它很容易锻造。如果您唯一担心的是网址劫持,那么您可以做出的最低级别的更改就是将您的ID字段更改为uniqueIdentifier(Guid),这样用户就不能只将增量数字附加到您的网址。