問題タブ [tampering]

現在、特定の基準に従ってドキュメントのリストをフィルタリングしています。

次に、このリストをユーザーに提示すると、

レンダリングされたコードを見ると、ドキュメント ID がどこにも表示されませんが、何らかの形でエンコードされていて、 client からデコード、変更、再エンコードできるという意味ではありません。

JSF の状態処理に関する私の理解は非常に不十分ですが、間違っていたら訂正してください。アクション パラメータ値の値をクライアントから手動で変更することはできません。クライアントに保存されている場合でも、サーバーだけがセッションをデコードおよびエンコードできるからです。パラメータ値はそこに保存されます。downloadDocument(document.id)ユーザーが特定のものをダウンロードする権限を持っていることを確認するためにチェックを追加する必要がありますdocument.idか? 将来的にはこのチェックを追加しますが、この問題が現在どれほど重大であるかを知りたいです。

これを ASP.Net MVC5 で開発しています。次の例を考えます。

エンティティ A のすべてのフィールドを更新します。ただし、投稿する前に、A の ID の非表示の入力フィールドを変更し、B の ID の入力フィールドに変更します。これで、すべての更新が B にプッシュされます。

これが起こらないようにするための .NET フレームワーク (偽造防止トークンに似た) のソリューションはありますか? または、以下に概説されているハッシュ方法を実装する必要があります: http://sergeyakopov.com/tamper-proof-hidden-fields-in-asp-net-mvc/

ありがとう