2

私は自分のアプリでリクエスト ファクトリを使用しています。クライアント側のプロキシには、ユーザーが変更できる getter メソッドといくつかの setter メソッドが含まれていますが、セキュリティ上の理由から、一部の setter メソッドは公開されていません。クライアント側から、セッター メソッドを作成してエンティティを変更できますか?

もしそうなら、この状況のセキュリティリスクを解決する方法を知っている人はいますか?

ありがとう。

4

1 に答える 1

2

Web 開発で覚えておくべき重要なルールが 1 つあります。

クライアントを信用してはいけません

ユーザーは、クライアント上のデータにアクセスし、それを変更するすべての手段を持っています。また、任意のRequestFactoryペイロードを生成し、アプリを使用せずに直接バックエンドに送信することもできます。

したがって、唯一の解決策は、バックエンドを保護し、現在ログインしているユーザーが呼び出しを許可されていることを確認することですsetter(つまり、AOP を使用するなど)。

于 2013-01-26T13:54:53.070 に答える