系统描述:在如下图的会员系统中,门户项目是使用纯html做页面的。
数据交互:html使用Ajax请求门户项目的一般处理程序--》门户项目请求接口项目的一般处理程序。
导致问题:门户项目即使做了登录验证,也存在平行越权的问题。
解决方法:
个人信息的查询--接口项目在返回的JSON中添加会员卡号,该会员卡号需要和Session中的会员卡号对比,一致才返回给页面。
提交--浏览器提交的会员卡号要替换成Session中的会员卡号,同时接口项目中所有的提交接口都需要加上会员卡号,如删除购物车、取消订单等接口,不可只传ID。