如何防止有人滥用路由系统?
How to prevent someone misusing routing systems?
我正在使用路由系统。您可以使用 url 进行一些快速更新等,而无需为其创建页面。我相信这是非常有效的。但是,如何防止用户滥用它?
此行更新用户帐户:
http://localhost:8080/Basic/Route/User/update/permissions>1/29
Class:用户
方法:更新
设置权限 => 1
其中 id 为 29
它工作得很好,但任何用户都可以在他的 URL 中输入它,如果他知道系统的工作方式。
有什么方法可以防止像这样的误用吗?
谢谢!
您应该实施用户身份验证,然后检查用户是否已登录以及他是否拥有所需的权限。我看不出还有其他更简单的方法。
加一个CSRF token可能就好了。如果还没有,我也会将其设为 POST 请求而不是 GET。
如果您不以这种方式保护您的 URLs/forms,用户可能会被诱骗执行他们不打算执行的操作(例如,从另一个网站或电子邮件访问 link)。
我正在使用路由系统。您可以使用 url 进行一些快速更新等,而无需为其创建页面。我相信这是非常有效的。但是,如何防止用户滥用它?
此行更新用户帐户:
http://localhost:8080/Basic/Route/User/update/permissions>1/29
Class:用户
方法:更新
设置权限 => 1
其中 id 为 29
它工作得很好,但任何用户都可以在他的 URL 中输入它,如果他知道系统的工作方式。
有什么方法可以防止像这样的误用吗?
谢谢!
您应该实施用户身份验证,然后检查用户是否已登录以及他是否拥有所需的权限。我看不出还有其他更简单的方法。
加一个CSRF token可能就好了。如果还没有,我也会将其设为 POST 请求而不是 GET。
如果您不以这种方式保护您的 URLs/forms,用户可能会被诱骗执行他们不打算执行的操作(例如,从另一个网站或电子邮件访问 link)。