那么如何维护表单数据到不同页面问题的表单安全呢?比如你有一个成员,他/她试图更改个人设置和你重定向成员处理表单安全
www.domain.com/member/change/member_id
成员改变了价值观和后通过改变与萤火虫或其他事情的行动数据到另一个页面。例如
www.domain.com/member/change/member_id_2
你是如何处理不使用会话这个问题?
那么如何维护表单数据到不同页面问题的表单安全呢?比如你有一个成员,他/她试图更改个人设置和你重定向成员处理表单安全
www.domain.com/member/change/member_id
成员改变了价值观和后通过改变与萤火虫或其他事情的行动数据到另一个页面。例如
www.domain.com/member/change/member_id_2
你是如何处理不使用会话这个问题?
当没有服务器端验证时出现此问题!
所以,解决方案是有服务器端验证。
为什么不使用会话状态?它是为此而设计的。
或者使用cookie或URL以及嵌入在其中的唯一会话样式ID,从而使您可以将其绑定回特定用户。
如何在没有会话的情况下处理会员? 在修改任何内容之前,请检查当前用户是否有权这样做。例如,如果您是#1用户,并且您的详细信息位于/ members/change/1,则您发布到相同的URL,并使用萤火虫将表单更改为/ members/change/2。处理表单时,您必须检查表单中的用户标识是否是当前用户的标识,如果不是,则显示错误。
您可以隐藏身份信息(member_id)并将其添加为参数或url路径。当请求发布到member_id表单时,您可以验证加密的member_id(它是请求的一部分)是否与member_id匹配。