拥有友好的URL通常是一件好事.但是,有时候这似乎是一个坏主意.你的经验法则是什么?
例如,考虑我想要显示注册成功页面的情况.我希望所有的底层逻辑都是一样的.但是,根据他们的注册方式,我可能希望为在某种角色下注册的人显示不同的消息.
以下是一些"hackable"(如链接中所述)URL 的袖口示例:
所有这些看起来都很糟糕,因为我不希望URL被发现.另一方面,我讨厌做一些更复杂的事情,只是为了略微修改成功消息.
你会怎么处理这个?
Era*_*rin 22
请记住,混淆URL 不是一种安全措施.你永远不应该相信外部输入 - 过滤,消毒和实施限制性逻辑.无论你多么聪明地相信你的混淆方案,人们都会相对轻松地破解更复杂的安全方案.
作为一般经验法则 - 没有充分的理由有意混淆URL.使用URL来传达读取操作(资源的路径).使用POST请求来传递写入操作(添加/修改数据).如果用户不应该通过URL执行某些操作,则应该通过请求方法对服务器端进行管理.