Raj*_*pta 2 php java browser security
Web应用程序上的恶意用户是否有任何可能的方式来操作由Web应用程序前端发送的输入(当然不是在谈论FORM DATA),而是发送的请求,例如,当我允许他编辑他的个人资料或他的内容时,他可能会操纵ID(userId或contentId),以便他可能恶意与其他用户内容做恶?这些输入是固定在网页上的,不可编辑,但用户是否还可以操作它们?
用户可能会以这种方式受到伤害吗?我如何保护我的申请免受此侵害?此外,在允许他的每个动作之前,在应用程序上验证用户的身份和他的内容/属性.
当然是.来自客户端的任何内容都可以修改,根本不可信任.
你需要做服务器端检查,如果用户正在编辑自己的个人资料或东西他允许编辑.
对于编辑配置文件之类的内容,您可以简单地使用存储在其会话中的用户ID(假设它是安全的,即存储的服务器端或加密签名的cookie).只有在必要时才让数据通过客户端 - 如果数据已经在服务器上可用,您甚至不必让用户觉得他可能会篡改它.即使它可以用作蜜罐 - 但这并不是大多数webapps的目的......