0

こんにちは、お時間をいただきありがとうございます。ログインしている顧客がビデオクラスを視聴できるWebアプリを開発しています。現在、私はGETを使用して、URLを介してビデオのタイプに関する情報を渡します。例えば:

ユーザー1にはマスターコースがあります->>>>URL= curso.php?page = master

ユーザー2の基本コース->>>>URL= curso.php?page = basic

ほら、ここにセキュリティの問題があると思います。ユーザー2が自分のURL「page = master」を入力すると、許可されていない動画を視聴できるようになるからです。

したがって、ユーザーIDが目的のページにアクセスできるIDを確認するために、各ページのセキュリティチェックを作成しています。

しかし、私はそれがあまりにも無駄な仕事だと思います。ボタンでPOSTメソッドを使用し、POSTを介してデータを送信する場合、特定のユーザーが自分に適していないコンテンツを表示できないと想定することは完全にセキュリティでしょうか?結局のところ、URLは常に同じで、curso.phpのようになります。

また、Sessionを使用する可能性はありますが、送信ボタンなどでSession値を定義できますか?

私は知っています、私は知っています、多くの初心者の質問ですが、それは私の2番目のバックエンドシステムであり、ここで多くのセキュリティ慣行を見逃しているように埋めます。

ヘルプやヒントをいただければ幸いです。

どうもありがとう、そして私の悪い英語をごめんなさい。

4

4 に答える 4

4

したがって、ユーザーIDが目的のページにアクセスできるIDを確認するために、各ページのセキュリティチェックを作成しています。

良い。それはあなたがする必要があることです。ユーザーにデータを提示する前に、ユーザーがデータを表示する権限を持っていることを確認してください。

しかし、私はそれがあまりにも無駄な仕事だと思います。ボタンでPOSTメソッドを使用し、POSTを介してデータを送信する場合、特定のユーザーが自分に適していないコンテンツを表示できないと想定することは完全にセキュリティでしょうか?結局のところ、URLは常に同じで、curso.phpのようになります。

ほとんどのブラウザでは、リクエストに使用された投稿データを調べるのに5ダース未満のクリックで済みます。POSTはユーザーから何も隠さず、ユーザーの顔に手を振るのを避けます。

また、Sessionを使用する可能性はありますが、送信ボタンなどでSession値を定義できますか?

セッション値のクライアント側を定義することはできません。データはリクエストでサーバーに送信する必要があります。

于 2013-03-21T13:59:09.273 に答える
3

POSTはGETと同じくらい安全ではありません。POSTを使用してセキュリティを強化することはできません。現在ログインしているユーザー情報に基づいてサーバーのチェックを実行する必要があります。HTTPを使用するように設計されているため、GETを使用して、サーバーで必要なチェックを実行してください。

やりたいことを実行するには、なんらかの認証が必要です。

于 2013-03-21T14:00:34.610 に答える
2

POSTを使用して中継するだけでは、間違いなく安全ではありません。たとえば、RESTツールを使用してPOSTリクエストを簡単に開始できます。

基盤となるフレームワークを使用しているかどうかはわかりませんが(基本的にユーザー権利の管理を求めているので、これをお勧めします)、そうでない場合は、ユーザークラスまたはセッションの権利を保存し、指定されたものと照合します。パラメーター。

基本的に、POSTとGETのどちらを使用するかは問題ではありません。ただし、HTTPでは、サーバーからデータを取得する場合はGETを使用し、サーバーにデータを送信する場合はPOSTを使用するとしています。

したがって、GETを使用して、認証されたユーザーの権限が格納されている優れたクラスを作成し、ユーザーが目的のコンテンツを取得できるかどうかを確認します。

于 2013-03-21T13:59:25.600 に答える
-3

いずれにせよ、両方ともSession、とPOST比較してセキュリティが大幅に向上するGETことは確かです。しかし、あなたはまだあなたのページであなたのチェックが必要です

于 2013-03-21T13:59:51.510 に答える