我和同事讨论过.我们必须实施一些安全标准.我们知道不会在隐藏字段中存储"敏感,地址,出生日期"信息,但通常可以为您的应用程序使用隐藏字段.
例如:
action=goback
对于那种信息使用隐藏字段而不是在查询字符串中添加它似乎更安全.这是黑客可以用来对您的应用程序使用的一小部分信息.
通过使用拦截代理(或任意数量的工具),黑客可以像查询字符串值一样轻松地访问隐藏字段.
我不认为使用隐藏字段有任何问题,只要它们不用于任何敏感的东西,你就像对待客户端的任何其他值一样验证它们.
使字段"隐藏"几乎与安全性无关,应该被视为UI决策.无论如何,任何"黑客"都会阅读您的HTML源代码.
最好不要显示敏感信息,或者,如果必须,最好使用SSL(以防止网络中介拦截数据)和登录挑战的某种组合(以防止未经授权的访问).
如果您暴露最终用户无法获得的信息和/或在返回时未对其进行验证,那么这只是一个安全漏洞.
我想改为将所述信息存储在服务器端会话变量中......
京公网安备 11010802040832号 | 京ICP备19059560号-6 