是否建议创建一个哈希列(唯一键)。当人们查看我的 URL 时,它目前是这样的:
url.com/?id=2134
但是,人们可以查看此内容并对所有内容进行数据挖掘,对吗?是否建议多走 1 个步骤来通过哈希实现这一点?
url.com?id=3fjsdFNHDNSL
谢谢!
第一步也是最重要的一步是使用某种形式的基于角色的安全性来确保没有用户可以看到他们不应该看到的数据。因此,例如,如果用户应该只看到他们自己的信息,那么您应该在显示之前检查该 ID 是否属于已登录用户。
作为第二级保护,拥有一个不会让您预测其他密钥的唯一密钥(如您建议的哈希或 UUID)并不是一个坏主意。但是,这仍然意味着,例如,获得他人 URL(例如通过嗅探网络、读取日志文件、在某人的浏览器中查看历史记录)的恶意用户可以看到该用户的信息。您需要身份验证和授权,而不是简单地混淆 ID。
| 归档时间: |
|
| 查看次数: |
480 次 |
| 最近记录: |