ajax – 在Coldfusion中保护远程CFC
发布时间:2020-12-16 02:51:50 所属栏目:百科 来源:网络整理
导读:我在查找有关在Coldfusion CFC上为 AJAX调用保护远程功能的信息时遇到了很多麻烦.假设您在用户通过AJAX调用登录到站点后检索用户的敏感信息.你打这样的话: https://www.mySite.com/pathToCFC/MyCFC.cfc?method=getBankInfouserID=2343 所以这显然是超级不安
|
我在查找有关在Coldfusion CFC上为
AJAX调用保护远程功能的信息时遇到了很多麻烦.假设您在用户通过AJAX调用登录到站点后检索用户的敏感信息.你打这样的话:
https://www.mySite.com/pathToCFC/MyCFC.cfc?method=getBankInfo&userID=2343 所以这显然是超级不安全的,因为任何人都可以从浏览器中调用它并更改userID以获取不同用户的银行信息. 我已经阅读了有关在远程函数上使用roles属性并使用cflogin对用户进行身份验证的内容,但即使有了这个,你也不必像上面的调用一样传递userID吗?经过身份验证的用户是否仍然无法切换用户ID以发现新用户的银行信息? 解决方法
不要从客户端传递用户标识. userid和其他敏感数据应存储在服务器端.事实上,从客户端传递的每一位数据都必须被认为是可疑的,并经过验证.
因此,如果您正在使用cflogin,并且您在单个服务器或粘性会话服务器上,则将userid和任何其他关键信息存储在会话范围中. 在每个请求中,您从会话中获取此数据,而不是从客户端提供的数据中获取. 这是User Security in Coldfusion的一个很好的起点 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |