我只是想知道最好的方法是什么,以及是否可以绕过它。 这些是我的想法。
我有一堆链接,点击后打开下面的详细信息面板,显示更多信息。这是完成ajaxy。但事情是......如果用户未登录,则应将其带到登录页面而不显示面板。
因此,如果我要从服务器发回用户的登录状态,然后显示面板或不显示面板......这是否足够安全?这可以以某种方式被绕过吗?
有更好的方法吗?
提前致谢。
答案 0 :(得分:3)
我很容易被绕过。用户可以创建自己的AJAX调用(甚至不需要执行AJAX,他们可以创建一个普通的旧HTTP请求),并设置登录标志,并获取他们不应该的数据。您可能最好只使用会话中的信息来确定用户是否已登录,而不是依赖于在AJAX请求中发送的信息。
答案 1 :(得分:0)
为什么不在用户登录时才发送回登录用户的数据,而不是发回登录状态?因此,您可以使用所有逻辑来确定要在服务器上显示的内容。 AJAX调用接收数据并显示它。
如果您有javascript idisplay或不显示数据,则表示您在任何情况下都将数据发送到客户端......这并不安全。