一问题:
在开发 web 项目是时, 安全问题有以下几种问题:
(1) 用户可以自己伪造一个 URL 请求来进行访问吗?
(2) 用户不在服务器登录, 可以自己封装出用户名密码进行访问吗?
(3)url 的参数可以多次尝试进行暴力破解吗?
二分析思路:
首先, 什么是安全, 用户自己拼接的 URL 请求就一定有错吗?
我们的 JS 可以写一个请求到后台, 用户自己为什么不可以?
那么, 安全的情形是什么?
(1) 用户在服务器 SESSION 里有登录的记录, 并且没有超时, 是可以正常请求的
(2) 请求的用户名密码验证是正确的, 同时具有该请求权限
(3) 拼接的参数格式也是正确的, 后台接受的数据匹配
三解决:
(1) 使用 JWTSHIRO 进行安全验证, 去掉用户名密码不匹配的
(2) 在 URL 进行访问的时候, 指定访问的上下文, 必须在某请求发出后, 才能发出当前请求 referrer 属性可返回载入当前文档的文档的 URL
(3) 对 URL 请求进行加密, 用户不能随便看到后台请求的 URL 信息感觉加密没啥用, 以加密文本也可以请求, 只是不能判断意义而已
来源: http://www.bubuko.com/infodetail-2496119.html