1
我想知道一些关于我的web应用程序的安全性。我有两个问题,我希望你可以帮助我他们Restful Web应用程序安全
我使用的是一个播放框架(它支持休息);我的一些REST的路线是这样的:
GET /mailbox/user/{userId} Application.getMailboxMessages
我有一个关于该案件
1两个问题。是否将userId
放在我的路线中使其成为安全风险? (没有充分利用会议userId
在服务器和没有通过userId
在所有是我应该做的?)
的第一个网址让我放置userId
在我的JavaScript文件。
$.ajax({
type:"GET",
url:"/mailbox/user/"+window.userId,
success : function() {....}
})
2。在JavaScript中放置userId
是否具有安全风险?
3。还有其他用户id与我使用ajax进行交互时会发生什么,我是否也应该对他们做些什么? 例如:
$.ajax({
type: "POST",
url : "/sendMessage/userFrom/"window.userId+"/userTo/"+ someTargetUserVar ,
success: function() {//update some gui here}
})
谢谢
好吧,所以我可以将userId传递给服务器,但需要使用服务器会话验证当前连接用户? – 2013-05-06 19:50:01
是的,这是要走的路,或者只是让我d来自会议。 – 2013-05-06 19:50:53