[英]Is it safe to use hidden inputs to retrieve user data?
我有一个非常大的表格,分为5个子表格。 当您从form1转到form2时,form1中的信息存储在DB中,并创建一个userId。 然后在form2中,此userId被添加为隐藏输入。 像这样:
<form action="" method="post">
<input type="hidden" value="userIDnumber" id="userId" />
<input type="hidden" value="<?php echo base_url();?>" id="url" />
//form data
<input type="button" id="prevButton" value="Prev" />
<input type="submit" value="Next" />
</form>
如果用户决定要返回到form1编辑数据,则单击“返回”按钮时,将发生以下情况:
var prev = document.querySelector('#prevButton');
if(!prev.addEventListener){
prev.attachEvent('onclick', prevPage);
}else{
prev.addEventListener('click', prevPage, false);
}
function prevPage(e){
var userId = document.getElementById('userId').value;
var url = document.getElementById('url').value;
var form = document.createElement('form');
form.setAttribute('method', 'post');
form.setAttribute('action', url + 'form/1');
form.style.display = 'hidden';
var input = document.createElement("input");
input.setAttribute("type", "hidden");
input.setAttribute("name", "userId");
input.setAttribute("value", userId);
form.appendChild(input);
document.body.appendChild(form);
form.submit();
}
我正在做的是创建一个隐藏的表单,并在此表单中添加一个带有UserId的隐藏字段,以便在进入form1时,我可以检索用户刚刚发布的数据,并在用户进行任何更改时更新数据库。
我的问题是,这是检索用户数据的安全方法吗? 我是javascript的新手,因此不确定是否通过这种方式攻击者可以通过直接插入其ID来访问其他用户的数据。
如果是这样,正确的安全方法是什么? 我考虑过可能使用会话,但是我正在工作的客户端不希望用户必须登录。
我还没有发现与此相关的任何问题,但是如果我对此表示歉意,请指出我的意思。
感谢您的时间。
当用户访问我的网页时,我创建一个全局对象,在其中创建用户命名空间,如下所示:
APP.user = {};
在此对象中,您可以存储所需的属性,并且可以在用户登录时使用Ajax从服务器检索用户数据。
您会在浏览器内存中获得一个带有键值对的简单对象。 例如:
APP.user = {
user_id: 'kgy',
firstname: 'kim',
lastname: 'gysen',
}
实际上,该数据也是公开可用的。
当涉及敏感数据时,将数据存储在DOM /全局对象空间中永远是不安全的。
当然,无论如何,用户都需要登录才能访问这些数据。
一件事是,这种方法会更快,因为不需要爬网DOM,而只是跨不同页面获取一些本地用户数据。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.