显示主键是一种危险
显示主键是一种危险
提问于 2014-01-05 06:01:54
例如,当我从视图中的帐户列表中选择一个帐户时,URL显示的内容如下:
http://example.com/BankAccount/EditBankAccount?bankAccountId=12
是否有一种方法来隐藏主键,因为northing阻止某人编辑URL中的id并将其张贴,以获得不同的帐户。
我可以添加代码来查看当前用户是否允许查看这个帐户,但是有更好的方法吗?
Stack Overflow用户
发布于 2014-01-05 08:33:42
你问:
有办法隐藏主键吗?
当然有,只是不要提供。让我们回顾一下您当前的URI:
http://example.com/BankAccount/EditBankAccount?bankAccountId=12
^^^^^^^^^^^^^^^^要隐藏主键,请删除它并将其编码为事务-脚本名称的一部分,例如:
http://example.com/BankAccount/EditMyBankAccount
^^我强调了不同之处。这个新的事务-脚本不需要提供任何主键,因为它总是编辑当前用户帐户-从来没有不同的一个。
这将有助于您预防不安全的直接对象引用。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/20930682
复制相关文章
相似问题
腾讯云开发者
