如何隐藏WEB-INF目录外的JSP页面
解决方案 »
- ssh框架上的一点小疑问,求大神们给指点迷津
- 有人做过客服系统吗?在web页面点击一个浮动窗体,然后进入与客服对话的页面
- 帮忙把下面的代码翻译成java代码,原来是perl
- ibatis查询结果集映射问题
- AJAX--->DWR的一个简单问题
- 求救----------》httpclient 代码
- Missing message for key "button.submit" 错误!!求救!!
- 小弟求教
- struts的错误问题:java.lang.NoClassDefFoundError: org/apache/commons/logging/LogFactory
- 如何将一个xml文件转化成为一个Stirng?
- 怎样理解分布式应用
- spring 的 entityDao 返回 List 集合的问题!!!!!!!!!!!!!!!!!!!!
比如,有一个用户展示个人信息的页面,需要用户的ID。
一般情况下,是用户登陆完了后,从数据库读ID,然后显示。
还有一种情况下,用户可以通过随机搜索到陌生人,然后看对方的信息,仍然是靠ID标识。
问题是,也可以直接在地址栏里随便的给一个ID号,然后直接看到对方的信息。
如何避免这样?
但是,你也可以这样直接访问showUser.jsp?uid=y,y是随机给的。
这样就可以随便的访问一个随机的人。
差别就在这,一种是正常途径,一种是非常规途径。还有,所谓的控制就怎么会事?怎么搞?
建议去看看图灵的struts1的那本书
这种方式是用Get方法提交的,即通过URL来传参数,所以可以看到,就可以猜到你把提交方法改为post提交,URL上就只有showUser.jsp,这样就猜不到了