怎么防止用户修改url,如果修改则使其跳转到制定页面
如何防止用户修改url,如果修改则使其跳转到制定页面
比如 我的 url http://bbs.****.net/topics/new?forum_id=1 用户一旦修改 然后请求 就会被 跳转到 制定页面
请问 大神 如何做
------解决方案--------------------
那你就用一个拦截器了,不合法的url全部被拦截不就可以了。
------解决方案--------------------
自己写一个FIlter去过滤掉非法的url。
------解决方案--------------------
修改的不一定有错啊
------解决方案--------------------
forum_id建表的时候不用自增,使用uuid唯一标示,就算别人瞎蒙也猜不到了
------解决方案--------------------
果断写一个拦截器,不正确的url会跳转到其他页面
------解决方案--------------------
首先你的orum_id生成规则是不合理的,这种生成一种随机数而不是这种自增的形式,另外,拦截器是必须的,必须判断用户是否登陆,如果即使登陆也要做拦截的话 ,那就在单独的拉出方法判断
------解决方案--------------------
request.getHeader("referer")是指获取当前这个请求来自的页面,如果是用户在地址栏输入一个地址发过来,这个方法获得的值为null.
可以通过这个判断。
这个是HTTP协议规定的。浏览器是遵守这个协议的,但是如果我用程序模拟一个HTTP请求过来,而不是通过浏览器发起,则我可以任意设置这个值,没有办法判断,毕竟HTTP协议是公开协议,而你的程序既然决定使用HTTP协议,就接受任何正确的HTTP请求。
------解决方案--------------------
1。对URL encode 服务端去 decode
2。根本不暴露URL,,,(在大部分企业管理里面很常见,用JSON+AJAX异步刷新或者用Iframe)
3。采用路径全部采用/ 。。。/。。。/的方式,没有==号,且路径为随机数 或者UUID
比如 我的 url http://bbs.****.net/topics/new?forum_id=1 用户一旦修改 然后请求 就会被 跳转到 制定页面
请问 大神 如何做
------解决方案--------------------
那你就用一个拦截器了,不合法的url全部被拦截不就可以了。
------解决方案--------------------
自己写一个FIlter去过滤掉非法的url。
------解决方案--------------------
修改的不一定有错啊
------解决方案--------------------
forum_id建表的时候不用自增,使用uuid唯一标示,就算别人瞎蒙也猜不到了
------解决方案--------------------
果断写一个拦截器,不正确的url会跳转到其他页面
------解决方案--------------------
首先你的orum_id生成规则是不合理的,这种生成一种随机数而不是这种自增的形式,另外,拦截器是必须的,必须判断用户是否登陆,如果即使登陆也要做拦截的话 ,那就在单独的拉出方法判断
------解决方案--------------------
request.getHeader("referer")是指获取当前这个请求来自的页面,如果是用户在地址栏输入一个地址发过来,这个方法获得的值为null.
可以通过这个判断。
这个是HTTP协议规定的。浏览器是遵守这个协议的,但是如果我用程序模拟一个HTTP请求过来,而不是通过浏览器发起,则我可以任意设置这个值,没有办法判断,毕竟HTTP协议是公开协议,而你的程序既然决定使用HTTP协议,就接受任何正确的HTTP请求。
------解决方案--------------------
1。对URL encode 服务端去 decode
2。根本不暴露URL,,,(在大部分企业管理里面很常见,用JSON+AJAX异步刷新或者用Iframe)
3。采用路径全部采用/ 。。。/。。。/的方式,没有==号,且路径为随机数 或者UUID