选择性的暴露业务字段

最新推荐文章于 2023-04-03 14:22:24 发布
最新推荐文章于 2023-04-03 14:22:24 发布
阅读量644 收藏
点赞数
分类专栏: 安全 业务 电商
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/usst_lidawei/article/details/78126167
版权
电商 同时被 3 个专栏收录
3 篇文章 0 订阅
订阅专栏
业务
2 篇文章 0 订阅
订阅专栏
安全
1 篇文章 0 订阅
订阅专栏

为了安全,在不影响交互的情况下,在一些查询接口的返回值中应该选择性的将某些敏感字段屏蔽,防止用户伪造请求

在开发中,遇到几个场景:

1.在其他查询券详情的时候如果模板id暴露出去,而领券接口需要接受的参数是券模板id,这时候用户就可以变更券模板id领取其他券了。

2.查询用户账户的优惠券列表,返回优惠券code值,在下单页,用户可以伪造请求,传入该code,计算接口未做进一步的校验的话,就会出现问题。

如果某个字段在一些内部逻辑需要使用,比如排序,为对外不易暴露,可以用 transient 关键字修饰该属性。

灰色调
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第三方登录、任意用户登录、暴露账号隐私风险等漏洞总结
墨痕诉清风的博客
07-12 161
以两步登录为例,登录输入账号密码/手机号验证码/其他的凭证信息后第一个请求校验其正确性后,第二个请求根据后端返回的账号/手机号/用户id等字段去获取用户凭证的登录逻辑。系统使用jwt作为认证字段,且其关键用户信息字段可以遍历时,若未验参或者使用弱密钥时,便可以将用户信息字段进行更改,删除/爆破弱密钥重新生成签名,到达任意用户登录。​ 一般正常的登录流程为服务端校验完用户身份后,返回用户凭证,但某些系统由于登录前会有很多的查询用户信息类的功能请求,经常导致在登录验证前就返回了用户凭证。
腾讯云容器服务的选择和发展
最新发布
光剑书架上的书
08-08 815
腾讯云(Tencent Cloud)提供的容器服务包括云服务器、云函数、云容器引擎、云数据库、云缓存、VPC等产品。云函数、云数据库、云缓存等产品都可以部署到容器运行,而云服务器、云容器引擎则可以作为主机环境运行容器。在这里,“容器”是一个虚拟化环境,可以封装一个或多个应用,并通过镜像方式进行分发。按需付费:容器服务按秒计量,只有使用时才收取费用,降低成本。弹性伸缩:根据业务需要对容器数量进行自动扩容和缩容,灵活应对多变的工作负载。
平台业务字段设置
weixin_33871366的博客
06-17 259
在度量快速开发平台的业务表管理界面有一个“字段设置”功能按钮,点击进入后如下图所示:我们看到“字段设置”界面与数据库表创建界面类似;除了不能新建字段外,每个字段都可以进行属性设置。那么这个在业务字段设置属性的功能有什么作用呢?业务场景:信息科、办公室、财务科三个科室都要求有自己的科室主页,用于上传文件资料以供全单位人员查看阅读。但由于各科室的业务不同,对于文件资料的分类...
Spring Data Rest如何暴露ID字段
weixin_34294649的博客
03-21 307
package com.example.demo.config; import com.example.demo.model.Comp; import com.example.demo.model.Person; import org.apache.catalina.User; import org.springframework.context.annotation.Bean; import...
一个接口字段对外暴露的时候,如何把自身的一些脏数据给过滤掉?
xyz的专栏
04-27 368
一个订单,在创建初期只有少数的几个字段,随着业务的发展,字段会增加,字段的属性本身定义也有可能会发生改变,例如:枚举的用途会增加,原来不能为空的字段也可以变成了null,或者原来可以为空的字段,现在不能为空了, 而其他接口依赖该接口业务,会因为该接口字段的定义变化而产生不可预期的错误,例如nullpointexception, 解决办法? ...
业务类型数据表
宜家软件
05-23 907
数据表数据字典报告 - b_businesstype 已生成: 2015-05-23 11:20:45 服务器: PostgreSQL 9.4 (localhost:5432) 数据库: v9 架构: public 字段 名称 数据类型 非空? 主键? 默认 注释 autoid integer 是
关于涉及到业务字段不用主键
Lin_SkySea的博客
07-30 168
比如删除,避免通过主键删除,而是再加一个业务字段业务字段删除。
电信设备-把字段信息合并加密存储在特定字段实现信息安全保存的方法.zip
09-14
3. **特定字段存储**:选择特定字段进行加密存储,意味着其他字段可能保持明文状态,这通常是出于业务操作的需要。例如,可能需要保留部分可识别信息以便于服务提供,而敏感信息如身份证号或信用卡号则被加密。 4. ...
分布式系统可观测性之应用业务指标监控
阿里云技术
05-20 577
本文主要讲述如何建立应用业务指标Metrics监控和如何实现精准告警。Metrics 可以翻译为度量或者指标,指的是对于一些关键信息以可聚合的、数值的形式做定期统计,并绘制出各种趋势图表。透过它,我们可以观察系统的状态与趋势。
组织人事类主数据业务梳理以及流程编排
数通畅联
04-11 3174
主数据是企业核心业务的主要构成部分,是应用系统之间数据交互的基础。本文针对组织人事类主数据的业务关联逻辑以及使用ESB流程编排进行说明。
实体类加业务字段
Joon_al_Principe的博客
01-07 1623
  实体类加业务字段   在实际的web开发应用,我们经常在返回DTO时,需要添加业务字段。但是因为这个实体类涉及的页面比较多,可能只在单个页面需要添加这个业务字段。   范例 pom坐标 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson&...
业务字段灵活调整参考方案
keepd的博客
04-03 548
java灵活字段,java表拓展字段
接口设计,这36个核心知识点一定要注意
weixin_43997319的博客
05-31 1084
目录 前言 设计好接口的 36 个锦囊 总结 前言 作为后端开发,不管是什么语言,Java、Go 还是 C++,其背后的后端思想都是类似的。我们做后端开发工程师,主要工作就是:如何把一个接口设计好。所以,今天就给大家介绍,设计好接口的 36 个锦囊。 设计好接口的 36 个锦囊 | 接口参数校验 入参出参校验是每个程序员必备的基本素养。你设计的接口,必须先校验参数。 比如入参是否允许为空,入参长度是否符合你的预期长度。这个要养成习惯哈,日常开发
接口字段定义
HELLO WORLD
12-08 7895
HTTP 接口字段定义格式
千万别用数据库关键字做字段
huazhizui的专栏
09-09 3223
我们项目用Hibernate作为ORM框架,在进行数据保存的时候,始终报sql错误。找了半天原因都找不到,sql语句拷出来执行也是对的。在navicat里,发现其一个字段read被高亮表示了,怀疑是关键字,修改该字段名字为 is_read之后就正确了。 这种恶心的错误太难发现了。长个教训
【springmvc+mybatis项目实战】杰信商贸-6.重点知识回顾
weixin_33778544的博客
09-07 214
1.重点知识回顾 Maven 1)覆盖仓库文件,实际企业开发,公司会架一个测试服务器,在测试服务器架私服。我们开发人员的程序,都连接私服。当本地没有项目要使用的jar,Myeclipse maven插件会自动到私服去找jar,如果没找到去央仓库maven寻找,找到后下载。activiti-engine-5.13.jar.lastUpdated 当...
solr配置业务字段
Java_Darling的博客
12-26 1089
Solr业务字段:solrhome/collection1/conf/schema.xml添加 1、id——》商品id 其他的对应字段创建solr的字段
好用到爆的 Java 技巧
MarkerHub的博客
07-13 225
小Hub领读:写得真不错,很多细节,能让你快速理解一个项目!来自:Lrwin 的技术博客http://lrwinx.github.io/2017/03/04本文不是一个吹嘘的文章,不会讲...
java 代码优化 优化内存使用 防止内存泄露 优化代码规范 提高效率
ma929226676的专栏
09-09 1295
通过java代码规范来优化程序,优化内存使用情况,防止内存泄露 可供程序利用的资源(内存、CPU时间、网络带宽等)是有限的,优化的目的就是让程序用尽可能少的资源完成预定的任务。优化通常包含两方面的内容:减小代码的体积,提高代码的运行效率。本文讨论的主要是如何提高代码的效率。 在Java程序,性能问题的大部分原因并不在于Java语言,而是在于程序本身。养成好的代码编写习惯非常重要,比如正确地、
Oracle数据库设计与运维实践:从字段到大对象详解
- 字段类型:选择适合业务需求的数据类型,如VARCHAR2、DATE等。 - 字段顺序:逻辑上按照业务流程或查询频率进行排序,提高查询性能。 4. 逆范式设计:平衡数据冗余和更新性能,根据实际场景决定是否采用逆范式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值