JSP ページにフィールド ベース セキュリティを実装しました。
フィールドがユーザーに対して読み取り専用である場合、属性readonly="true"を配置します。
しかし、一部のユーザーはテクニカルで、Firefox または関連ツールの firebug について知っており、これらのツールを使用して、dom から読み取り専用属性を削除し、フィールドの値を変更します。
どうすればこれを制御できますか? または他のメカニズム?
1 に答える
4
あなたが提供したドキュメントをユーザーが変更することに対して、あなたは何もすることができません。あなたがクライアントに送信するものはすべて、クライアントの管理下にあり、あなたの管理外です.
ただし、このようなパラメーターの改ざんを回避または検出するために実行できる手法はいくつかあります。
- 回避: クライアントに対して使用できるパラメーターが少ないほど、改ざんされる可能性のあるパラメーターが少なくなります。特定のパラメータ (おそらく非表示のフォーム フィールド) を変更したくない場合は、それをクライアントに送信せず、サーバー側に保持します。これらのパラメーターをクライアントのセッション内のある種のコンテナーに格納し、それを現在のフォームに関連付けることができます。クライアントに送信される唯一の情報は、サーバー側に格納されたパラメーターを参照するコンテナーのランダムな識別子です。
- 検出: MACなどの暗号化ハッシュ関数を使用して、クライアントから返されたデータが送信されたデータと同一であることを確認できます。ただし、これでもリプレイ攻撃が可能になることに注意してください。
于 2013-02-24T11:13:30.967 に答える