[英]Securely passing parameters in JSP/Servlet (No Frameworks)
我們有一個JSP頁面和一個Servlet頁面,在這里我們通過URL將參數從JSP傳遞到Servlet。 以下是JSP鏈接
<a href="OpenServlet?idClient=23">Allergies</a>
在我們的servlet中,我們執行以下過程。
int id = Integer.parseInt(request.getParameter("idClient"));
//Do the work
RequestDispatcher d = request.getRequestDispatcher("view.jsp");
d.forward(request,response);
不幸的是,這使idClient
100%可見,並且它也是可編輯的。 我們注意到,用戶可以簡單地從URL編輯idClient
並訪問其他客戶端信息! 不僅如此,無論客戶端是否屬於任何人,任何人都可以訪問任何人的信息!
我們怎樣才能阻止這種情況?
獲取登錄用戶。
檢查該用戶是否應該能夠訪問此客戶端的詳細信息。
如果不是,請返回錯誤頁面,而不是客戶端詳細信息頁面。
在不了解您現有代碼和數據庫結構的細節的情況下,我無法說得更具體。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.