我正在使用路由系统。您可以使用网址进行一些快速更新等,而无需为其创建页面。我相信这非常有效。但是,如何防止用户滥用它呢?
此行更新用户帐户:
http://localhost:8080/Basic/Route/User/update/permissions>1/29
课程:用户
方法:更新
设置权限=> 1
其中id为29
它非常好用,但是如果他知道系统的工作方式,任何用户都可以在他的URL中输入。
有没有办法防止像这样的误用?
谢谢!
答案 0 :(得分:1)
您应该实施用户身份验证,然后检查用户是否已登录以及是否具有所需权限。我没有看到任何其他方法更简单。
答案 1 :(得分:1)
添加CSRF token,可能没问题。如果不是POST,我也会将其设为GET请求。
如果您不以这种方式保护您的网址/表单,则可能会欺骗用户执行他们不打算执行的操作(例如,通过访问其他网站或电子邮件中的链接)。