qq_34314729
ZZH____
2019-06-14 15:20
采纳率: 0%
浏览 872

关于用户修改URL参数越权漏洞的问题。

由于很多请求参数都是通过URL上传参数,导致用户可以通过修改URL的参数查看到自己无权查看的数据。现已有解决方案,在每个请求上用公钥加密所有参数,然后后台解密,这样就能避免用户私自修改参数访问数据。

问题: 由于当前此类URL很多,暂时没想到可以用公共方法实现的思路(不用细化到每个URL去修改),想请教各位有没有好的办法,麻烦细述思路。谢谢。

  • 点赞
  • 写回答
  • 关注问题
  • 收藏
  • 邀请回答

1条回答 默认 最新

  • Eric_Liu_Xin
    澈丹丶 2019-06-14 16:00

    这种涉及权限的问题,后台应该有一套自己的权限管理机制。仅靠URL去限制访问,是不安全的。如果低权限的人,拿到了高权限的URL,也是同样可以越权访问数据的。

    点赞 评论

相关推荐