提个有关问题?关于用户id
日期:2014-05-18 浏览次数:20425 次
提个问题?关于用户id
请问一下~ 看到有好多网站在登录成功后 都有记录用户会话用于进行用户主页的一些权限操作验证
比如session 还有一些网站直接将用户id 在url地址栏上面显示传递
请问一下类似上面的方法 存在什么安全漏洞 是否在传递的时候或者session的时候 都需要加密一下
还有一个问题就是比如登录后 对于用户主页操作的权限管理 一般是如何设计还有没有别的方法可循?
------解决方案--------------------
当然有漏洞。如果你允许用户输入一个URL,而不对它过滤的话,那么有可能造成跨站攻击。
------解决方案--------------------
必须会有点漏洞。。。。根据你需要来,可以加密的。。。。貌似有个什么MD5的
------解决方案--------------------
伪静态。。
请问一下~ 看到有好多网站在登录成功后 都有记录用户会话用于进行用户主页的一些权限操作验证
比如session 还有一些网站直接将用户id 在url地址栏上面显示传递
请问一下类似上面的方法 存在什么安全漏洞 是否在传递的时候或者session的时候 都需要加密一下
还有一个问题就是比如登录后 对于用户主页操作的权限管理 一般是如何设计还有没有别的方法可循?
------解决方案--------------------
当然有漏洞。如果你允许用户输入一个URL,而不对它过滤的话,那么有可能造成跨站攻击。
------解决方案--------------------
必须会有点漏洞。。。。根据你需要来,可以加密的。。。。貌似有个什么MD5的
------解决方案--------------------
伪静态。。
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
