サイトでは、ユーザーが自分の情報を編集するときに、hidden自分の ID を行います。しかし、このリンクでリスクが高いことがわかりました:悪意のあるハッカーは隠しファイルを変更できます。2 番目の方法は、現在ログインしているユーザーの ID を Cookie に保存することです。誰でも Cookie の ID の値を変更したり、他のユーザーの情報を編集したりできますか?
はいの場合、どの方法でアドバイスできますか?
1 に答える
1
毎回認証メカニズムを使用する必要があります。正しく実装し、投稿されたフォームの値ではなく、常にそこからユーザー ID を取得する場合は、心配する必要はありません。
ほとんどの Web サイトはフォーム認証を使用しており、一部の ASP.NET MVC プロジェクト テンプレートには、すぐに使用できる実装が付属しています。カスタム実装が必要ない場合は、それらを使用する方が安全です。
于 2013-02-11T13:13:55.057 に答える