1.信息列表编辑信息,传递ID到后台查询详情, get方式 改ID就能编辑当前用户看不到的信息,因为返回的是页面,用ajax 提交不行 。怎么处理这种业务。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
8
478
收藏
你后台不做鉴权,不管是什么方式传数据都不安全。
举个例子,假如把课程id传过去,你先判断课程是不是自己的,如果不是自己的抛异常,如果是就查看.也就是说你把id传过去,判断一下是不是和自己相关的信息,如果不是就不然查看.
这个东西需要后台做权限检查,和前端无关。差不多就是和楼上说的一样,后台负责获取
id,然后检查这个id是否合法,然后在根据检查结果进行页面的输出获取信息,不管怎样你都得传后台需要的值,需要ID你就得传,后台程序做验证咯。你编辑之后提交的信息,同样也是需要前后台校验。
安不安全永远都不是前端决定的。就算你一个post请求,参数一样能被看到。
服务端做好验证就好了。
post和get在安全性上几乎没有区别,后端做好验证就完事了
通常是前端传递userID,token和ID等信息至后台,交由后台验证。
用localStroage传啊