1

Web アプリケーションのセキュリティについて少し疑問に思っていました。2 つの質問があります。ご協力いただければ幸いです。

私はプレイフレームワーク(残りをサポートしています)を使用しています。私の REST ルートの一部は次のようになります。

GET  /mailbox/user/{userId} Application.getMailboxMessages

その件に関して2つ質問があります

1. userIdをルートに配置すると、セキュリティ上のリスクになりますか? (サーバーのセッションから取得しuserId、まったく渡さないのuserIdは私がすべきことですか?)

userId最初の URL は、JavaScript ファイルに配置するように導きます。

$.ajax({
    type:"GET",
    url:"/mailbox/user/"+window.userId, 
    success : function() {....}
})

2. userIdjavascriptを配置することはセキュリティ リスクですか?

3. また、ajaxを使用してやり取りする他のユーザーIDはどうなりますか?それらについても何かをする必要がありますか? 例えば:

$.ajax({
   type: "POST", 
   url : "/sendMessage/userFrom/"window.userId+"/userTo/"+ someTargetUserVar ,
   success: function() {//update some gui here}
})

ありがとうございました

4

1 に答える 1

2

広告。1. userId を配置することは基本的には問題ありません。セキュリティ上のリスクはありません (ただし、バックエンドのセッションから取得できることは明らかです。URL の変換では、/mailbox/user/self のようなリンクを使用することがあります)。

広告。2. 以上でOKです。

広告。3. 特定のリクエストがログインしているユーザーに対してのみ有効な場合は、それを検証して、現在のユーザー以外の ID のエラー コードを返すか、URL に ID を渡さず、セッションから取得してから /mailbox/user を使用します。 /self を使用して、API ユーザーの意図を明確にします。

于 2013-05-06T19:35:14.040 に答える