我的公司有一个供内部和外部用户使用的网站。某些信息无法被外部用户看到。但是,如果他们在URL中添加了一些内容(即?ParentRsvId = 4794094),则他们能够提取该保留并进行查看。我该如何阻止这种情况发生?
答案 0 :(得分:1)
通常,您没有无控制WebApplication中的客户端的权限。您可以告诉它应该执行某些操作,但是您永远无法假设它实际上已完成。因此JavaScript不会帮您1个她。
关于阻塞区域并确保明智请求的唯一方法是通过服务器端的Programm flow:
在您的情况下,预订视图应检查“登录用户”帐户是否应该存在。如果不是,则只需将重定向发送到登录页面/错误消息。客户端可以遵循重定向。或留在重定向页面上。在这两种情况下,都不会泄漏任何信息。
答案 1 :(得分:0)
您需要对生成页面内容的服务器端代码进行授权检查。呈现页面时,请检查用户是否有权查看内容,如果没有显示401错误或重定向到他们有权查看的页面。