我想让管理员用户将用户附加到组,因此我将用户 id 及其名称作为 {id:, name:} 数组传递,管理员将能够将用户附加到通过浏览器中基于 html 和 javascript 的界面编辑的组。
那么,如果管理员在将附加用户发布到服务器之前更改用户数组并设置不同的 id 会怎样?在这种情况下,管理员可能能够将被黑客入侵的 ID 分配给服务器。然后意外的用户将被附加到该组。
另一种可能性是,当管理员为该组发送一个被黑客入侵的 ID 时!
在这种情况下推荐的方法是什么?在网络开发中多久处理一次这种情况?
最佳答案
与往常一样,您需要验证用户输入。
- 请求是来自管理员吗? (即它们是否经过正确验证?)
- 请求中的 ID 是真实的吗?
- 他们是否有权更改请求中包含 ID 的用户的详细信息?
- 他们是否有权更改群组?
等等
关于javascript - 将 ID 传递给 View ,如何避免可能的操作?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35969808/