2. 질의 응답
  3. 변경 값에서 방화 광 특수한 기능으로부터 데이터 보호

변경 값에서 방화 광 특수한 기능으로부터 데이터 보호

2012-09-07 2 views
-1

내 문제는 user_id 또는 ordered_post_id와 같은 데이터를 어떻게 보호 할 수 있습니까? user_id와 같은 인수가있는 URL이 있다고 상상해보십시오. html 요소 (< 태그 ID = "user_id"> 사용자 ID 여기 </tag>)를 읽음으로써 Dom과 URL을 생성 할 수 있지만 여기에는 한 가지 문제가 있습니다! 불량 해커는 "사용자 ID를 여기에"바꿀 수 있습니다.변경 값에서 방화 광 특수한 기능으로부터 데이터 보호

하나의 솔루션은 세션과 함께 데이터를 저장하는 것이지만 일부 사용자가 일부 Logic 작업 처리를 담당하는 URL 생성을위한 특정 버튼을 클릭하면 Google 데이터에 액세스 할 수 없습니다.

어떻게 데이터를 보호하고 데이터에 대한 필요시 접근성을 가질 수 있습니까?

감사합니다.

출처

2012-09-07 Saeed

답변

0

클라이언트가 보낸 모든 것을 신뢰해서는 안됩니다.

서버 세션에 사용자 ID를 저장해야합니다. 클라이언트는 자신의 세션이 #client_session이라고 말할 수 있으며 상관 관계를 만들지 않습니다.

출처

2012-09-07 20:30:56 SJuan76

+0

... 거의 모든 주요 웹 사이트에서이 작업을 수행한다는 점만 제외하면. :) 서버에 의해 보호되는 한 클라이언트가 보낸 데이터를 신뢰할 수 있으며 서버가 다시 제출할 때 (예 : 서버에서 서명 한) 서버에서 다시 유효성을 확인할 수 있습니다. –

0

일반 HTTP 대신 HTTPS 연결을 사용하십시오. URL은 암호화되어 해커가 데이터를 추출하기 위해 "특수한"URL에 액세스하지 못하도록합니다.

출처

2012-09-07 20:40:12 Cratylus

+0

HTTPS 대신 HMAC 검증을 사용할 수 있습니다. 더 간단한 방법을 찾고 있습니다. d : -/ 쇼핑 웹 사이트의 솔루션은 무엇입니까? – Saeed

+0

쇼핑 웹 사이트는 기본적으로 SSL을 사용합니다. * 비 * HTTPS 연결로 쇼핑하기 위해 신용 카드 정보를 보낸 적이 있습니까? – Cratylus

관련 문제

 관련 문제