jsp页面 hidden字段安全问题！
做一个添加下级用户的界面，
首先登录管理员（上级），通过session获取到管理员的相关信息，（权限级别，编码等数据），
然后在添加界面的jsp调用hidden字段，准备和表单其他值一起传到action里，代码如下：

<input id="higherno" name="higherno" type="hidden" value="<%=session.getAttribute("myserialnumber")%>" />

现在发现我登录上级身份进到页面，然后查看源文件，直接可以看到上次被隐藏的value值，心中很不安
问：从客户端可以修改hidden的value值，然后上传到服务器么？


PS：求解答，50分送上！应该是小问题！
------解决方案--------------------
这个值是可以随便改的。。比如开发者Chrome。

这样做适合保存不敏感的信息。


另外，无论如何服务器端都要重要值的进行合法性判断。

因为理论上来说表单任何数据都是可以改的。。
------解决方案--------------------
你的设计思路就有问题，这类安全系数极高的数据你就不能暴露在客户端，在客户端不管你藏的多隐秘，都是可以被发现的，修改也是很容易的事情。
------解决方案--------------------
一般要做到字段安全的话，传到页面的字符串可以进行编码
------解决方案--------------------
实现不了，不可能实现。
------解决方案--------------------
为什么非得把管理员信息放在session呢？就放在服务器端，然后action里面取也一样的撒。

另外，我有一点疑惑，非管理员难道也能看到添加下级的菜单？如果看不到，那即使hidden field里面的值被看到也无所谓啊，那也只能管理员才看得到这个值。如果看得见，那说明权限模块没设计好。
------解决方案--------------------
那你就加密，或者屏蔽右键功能。
------解决方案--------------------

引用:

引用:
为什么非得把管理员信息放在session呢？就放在服务器端，然后action里面取也一样的撒。

另外，我有一点疑惑，非管理员难道也能看到添加下级的菜单？如果看不到，那即使hidden field里面的值被看到也无所谓啊，那也只能管理员才看得到这个值。如果看得见，那说明权限模块没设计好。


非管理员看不到的，这个是内部管理系统，我所说的情况主要……

你就直接说你想实现个什么效果，大家看看有没有其它方法实现。
------解决方案--------------------
为什么要把session的值放到界面上来隐藏起来传到后台？你不会在后台再从session取值吗？
可以很认真的告诉你，任何一个在界面的表单值，都可以通过url的形式伪造地址数据。
------解决方案--------------------
当然可以随意更改