最近项目中遇到一个bug,描述如下
[img]http://dl.iteye.com/upload/attachment/0071/3705/b0b49a66-04b5-3208-8d04-6dd6324ad45f.png[/img]
如上传文件右下角,用户可以通过链接,然后模拟链接复制进入。这样就可以伪造别人的数据进行非法操作,查看源代码发现采用的是直接<a>标签提交数据,本能第一反应是采用post提交,但是思前顾后。如果用户比较“聪明”的话通过查看源代码照样可以伪装,这样楼主我就苦逼的给领导批评了,由于时间紧迫,采用临时方法解决,方法虽然不是很好,但是能解决实际问题,记录下来以作为日志。大家如果有什么好的方法也可以共同交流。
[b] 我采用的方法是对数据id进行加密,页面只显示数据的加密字段信息。方法如下:
1、在数据PO中加入secretKey字段;
2、每次后台查出数据时候调用固定加密算法(自己写也可以MD5)对id进行加密。页面上不保存id值,只显示加密值,页面展示时,对查询等操作传递加密值到后台进行解密,然后获取id等[/b]
结果如图所示,这样安全性高了很多。
[img]http://dl.iteye.com/upload/attachment/0071/3707/f2940857-0f6d-383b-ae49-f3ad61de43bf.png[/img]
在网上看到许多关于此类问题的解决。感觉太烦琐不适合及时响应。也可能我经验不够,技术不够成熟,希望有好的方法的能共同交流,只有交流才能学得更多,呵呵~~
[img]http://dl.iteye.com/upload/attachment/0071/3705/b0b49a66-04b5-3208-8d04-6dd6324ad45f.png[/img]
如上传文件右下角,用户可以通过链接,然后模拟链接复制进入。这样就可以伪造别人的数据进行非法操作,查看源代码发现采用的是直接<a>标签提交数据,本能第一反应是采用post提交,但是思前顾后。如果用户比较“聪明”的话通过查看源代码照样可以伪装,这样楼主我就苦逼的给领导批评了,由于时间紧迫,采用临时方法解决,方法虽然不是很好,但是能解决实际问题,记录下来以作为日志。大家如果有什么好的方法也可以共同交流。
[b] 我采用的方法是对数据id进行加密,页面只显示数据的加密字段信息。方法如下:
1、在数据PO中加入secretKey字段;
2、每次后台查出数据时候调用固定加密算法(自己写也可以MD5)对id进行加密。页面上不保存id值,只显示加密值,页面展示时,对查询等操作传递加密值到后台进行解密,然后获取id等[/b]
结果如图所示,这样安全性高了很多。
[img]http://dl.iteye.com/upload/attachment/0071/3707/f2940857-0f6d-383b-ae49-f3ad61de43bf.png[/img]
在网上看到许多关于此类问题的解决。感觉太烦琐不适合及时响应。也可能我经验不够,技术不够成熟,希望有好的方法的能共同交流,只有交流才能学得更多,呵呵~~
5万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
