レポートを実行してPDFを返すサーブレットを呼び出すAJAXアプリケーションがあります。これはすべてうまく機能しますが、レポート名と顧客IDが記載されたWebページがユーザーに表示される点が異なります。顧客IDを変更すると、別の人に対して同じレポートを実行できるようになります。うわぁ!
セッション管理に疑わしく使用されたURL書き換えについていくつか思い出します。サーブレット内のURLを変更して、ユーザーが返したものをハッキングして他のレポートを取得できないようにすることができるかどうか疑問に思いました。どうすればいいですか?
また、誰かがより良いアイデアを持っていますか?
ありがとう。
(匿名の)セッションIDをファイル部分として使用するだけです。そして、セッションIDを追加して、サーブレットがファイルシステム内のファイルをストリーミングできるようにします。
これは、Ajaxと2つのことを同時に実行するため、制御フローを簡単に実行できないことを前提としています。
さて、GarethLが彼のコメントですでに述べたように、ユーザーはログインする必要があります。その後、セッションに顧客IDを保存し、パラメーターの代わりにこれを使用できます。
問題は、最初に何らかの方法でユーザーのIDを確認する必要があることです。最も簡単な方法は、パスワードです。
結局、コンテンツをコピーするためのプロキシサーブレットを作成することになりました。これは、セッションにURLパラメータを格納するハッシュキーによってトリガーされます。これにより、必要なすべてのセキュリティが得られます。
ありがとう。