-2

ユーザーリストがあり、ID が各行に関連付けられているとします。各行に関連付けられた編集ボタンがあります。編集ボタンをクリックすると、ユーザー情報を表示したい。現在、URLのパラメーターとしてIDを渡しています。すべての ID がすべての人に表示されるわけではないため、セキュリティ上の理由から、これは避けたいと考えています。ビューがロードされたときにセッションからロードするIDを取得できるように、編集ボタンをクリックしてセッション変数を設定できるようにすべきだと考えています。編集ボタンがクリックされたときにセッション変数を設定する方法。より良い代替手段はありますか?

前もって感謝します。SK

4

1 に答える 1

0

URL で ID を渡すことは、セキュリティ上の問題ではありません。現在のユーザーが指定された ID へのアクセスを許可されているかどうかを確認しないことは、セキュリティ上の問題です。認証システムが必要です。特定の ID へのアクセスを許可されていない人がアクセスしようとすると、403 ForbiddenHTTP ステータスでリクエストを拒否し、情報を出力しません。

セッション内のサーバー側の状態 (HTTP リクエストの冪等性を大幅に破る)でも、何らかの方法でセッション内に ID を設定する必要があり、ユーザーが設定を許可されているかどうかを確認する必要があるため、そのようなシステムが必要です。特定のIDへのセッション。

于 2012-12-03T10:07:26.683 に答える