[英]Modifying the URL allows some users to see content they shouldn't
我公司有一個供內部和外部用戶使用的網站。 某些信息無法被外部用戶看到。 但是,如果他們在 URL 中添加一些內容(即?ParentRsvId=4794094),他們就可以提取該預訂並查看它。 我怎樣才能阻止這種情況發生?
作為一般規則,您無法控制 WebApplication 中的客戶端。 你可以告訴它應該做某事,但你永遠不能假設它實際上已經完成了。 所以 JavaScript 不會幫助你 1 Iota 她。
關於阻止區域並確保合理請求的唯一方法是通過服務器端的程序流:
在您的情況下,預訂視圖應該檢查登錄用戶帳戶是否應該在那里。 如果不是,您只需發送重定向到登錄頁面/錯誤消息。 客戶端可以遵循重定向。 或者留在重定向頁面上。 在這兩種情況下,都不會泄露任何信息。
您需要對生成頁面內容的服務器端代碼進行授權檢查。 呈現頁面時,檢查用戶是否有權查看內容,如果沒有,則顯示 401 錯誤或重定向到他們有權查看的頁面。
Parse.com-如何阻止新用戶注冊后看到他們不應該看到的內容?
[英]Parse.com - How to stop new users seeing content they shouldn't after sign up?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
