request.getParameter的安全性问题。 if(request.getMethod().equals("POST")){//////}即使是post也一样有这个问题,别人既然能知道传参,那用表单或者编程直接提交到你这个url一样能做这个操作。 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 用session判断是否有权限操作。 把ID加密了 再传 就OK乐 首先,SESSION角色权限是肯定有的,我的意思是,就算有权限,我也不想让角色可以通过URL直接删记录,POST如果跨域提交那应该比较好办,加个判断就能阻止,至于加密没有涉及过,俺不会,所以我想,判断是否是"POST"和是否来自本域作为条件,不知道这样做合不合理? 如果有权限删除,说明这个人有此项功能,他直接删也行,通过url删也是多此一举啊! 用struts的同步令牌思想现在session里生成一连串数字生成RSA公钥和私钥然后对数字进行私钥加密将加密后的数字传到客户端然后提交的时候,得到客户端生成的数字,公钥,原文进行解密和匹配。匹配成功则进行处理,不成功则返回 客户登录后看到的ID记录是筛选过的,比如是前50条,然后删除页面为了通用性一般不会去判断来的ID是不是50内的,所以直接URL他就可以删前50条之外的,所以我想通过POST提交来解决这个问题,当然POST也可以自己做个跨域提交,所有我说判断是否是"POST"和是否来自本域作为条件。至于21楼的公钥和私钥,有点高深,有空研究下。还有很多朋友都回答添加权限,可能是我的问题没说清楚,抱歉了~ 教你个简单的方法。将 form的method设置成post然后在后台判断是否是post如果你直接在url上打,必然是get if (HttpMethod.POST.equals(request.getMethod())) {} else { // 报错}加上你之前的权限判断,应该可以了 hibernate+mysql添加时出现的问题急!!急!!1 java.lang.NullPointerException 百分求助OpenCms内容两列显示 servlet-api 源码问题 在Jsp页面中怎么显示一个存储过程的返回值? 开发taglib时如何处理js脚本 问一个正则表达式。。16位数字,包括3位小数 求助:文件下载! 请大家帮忙推荐一本好的学习JSP的书,并请提供下载地址,谢谢。 如何避免在applet中对ip信息硬编码? struts2 上传文件 为什么ssh框架做的登录页面只能登录5次?
所以我想,判断是否是"POST"和是否来自本域作为条件,不知道这样做合不合理?
生成RSA公钥和私钥
然后对数字进行私钥加密
将加密后的数字传到客户端
然后提交的时候,得到客户端生成的数字,公钥,原文进行解密和匹配。匹配成功则进行处理,不成功则返回
客户登录后看到的ID记录是筛选过的,比如是前50条,然后删除页面为了通用性一般不会去判断来的ID是不是50内的,所以直接URL他就可以删前50条之外的,所以我想通过POST提交来解决这个问题,当然POST也可以自己做个跨域提交,所有我说判断是否是"POST"和是否来自本域作为条件。
至于21楼的公钥和私钥,有点高深,有空研究下。还有很多朋友都回答添加权限,可能是我的问题没说清楚,抱歉了~
将 form的method设置成post
然后在后台判断是否是post
如果你直接在url上打,必然是get
// 报错
}加上你之前的权限判断,应该可以了