我需要提高应用程序的速度,但我还必须注意安全性。首先,我将解释应用程序的用途:
当用户在应用程序中注册他选择学校时,在数据库中的用户配置文件中我存储该学校的ID
每个学校都有自己的页面,如果用户来自该学校,他可以在该学校页面上做一些事情,写评论添加图片等。
用户也可以访问其他学校页面,但他不能写评论和添加图片
目前,我将CurrentSchoolID保留在ViewBag's
我想知道将CurrentSchoolID存储在cookie中会更好
是否有可能某个恶意用户使用此cookie来损害应用程序?
对于应用程序,用户必须启用cookie。
答案 0 :(得分:1)
如果不允许用户编辑其他学校,但他们不能指望cookie中的ID是真实的。
理论上,您可以做的是将学校ID确实保存在cookie中,并且在每次写入/更新/删除操作时,检查(当然在服务器上)登录用户是否有资格更改与之相关的数据这个学校的身份证。
但实际上,学校ID是不必要的。最好关闭 - 检查服务器端允许该用户编辑的学校,并且仅当用户编辑该学校的数据时才允许编辑操作。