웹 응용 프로그램의 보안에 대해 궁금합니다. 나는 두 가지 질문을 가지고 있으며 그들과 함께 나를 도울 수 있기를 바랍니다.안정적인 웹 응용 프로그램 보안
나는 (나머지를 지원하는) 놀이 틀을 사용하고 있습니다. 내 REST 노선의 일부는 다음과 같습니다 :
GET /mailbox/user/{userId} Application.getMailboxMessages
나는 경우
1에 관한 두 가지 질문이 있습니다. 내 경로에 userId
을 두는 것이 보안 위험이 있습니까? (모두의 userId
내가해야 할 일이다 통과하는 서버에 세션에서 userId
을 받고하지 않는 이유는 무엇입니까?)
첫 번째 URL 내 자바 스크립트 파일에 userId
을 배치하는 날 리드.
$.ajax({
type:"GET",
url:"/mailbox/user/"+window.userId,
success : function() {....}
})
2. 자바 스크립트에 userId
을 삽입하는 것이 보안 위험입니까?
3. 아약스 사용과 상호 작용하는 다른 사용자 ID도 어떻게됩니까? 예를 들어 는 :
$.ajax({
type: "POST",
url : "/sendMessage/userFrom/"window.userId+"/userTo/"+ someTargetUserVar ,
success: function() {//update some gui here}
})
당신에게
ok, userId를 서버에 전달할 수 있지만 현재 연결된 서버 세션에 대한 유효성을 검사해야합니다. 사용자입니까? –
예, 그게 가야 할 길입니다. 세션에서 d. –