アプリケーションの速度を上げる必要がありますが、セキュリティにも注意する必要があります。まず、アプリの機能について説明します。
ユーザーがアプリケーションに登録するときに学校を選択し、データベースのユーザープロファイルにこの学校のIDを保存します。
すべての学校には独自のページがあり、ユーザーがその学校の出身である場合、その学校のページでいくつかのことを行ったり、コメントを書き込んだり、写真を追加したり
できます。ユーザーは他の学校のページにアクセスすることもできますが、コメントを書き込んだり写真を追加したりすることはできません。
現在、私はにとどまりCurrentSchoolIDますViewBag's。クッキー
に保存したほうがいいのかな。
一部の悪意のあるユーザーがこのCookieを使用してアプリケーションに害を及ぼす可能性はありますか?
アプリケーションの場合、ユーザーはCookieを有効にする必要があります。CurrentSchoolID
1 に答える
1
ユーザーが他の学校以外の学校を編集することを許可されていない場合、CookieからのIDが真であると期待することはできません。
理論的には、学校IDを実際にCookieに保存し、書き込み/更新/削除アクションのたびに、ログインしたユーザーがこの学校IDに関連するデータを変更できることを(もちろんサーバー上で)確認することができます。 。
しかし、実際には学校IDは不要です。より良いオフ-このユーザーが編集を許可されている学校をサーバー側で確認し、ユーザーがこの学校のデータの1つを編集する場合にのみ編集操作を許可します。
于 2012-04-29T15:39:14.327 に答える