我在查找有关在 Coldfusion CFC 上为 AJAX 调用保护远程功能的信息时遇到了很多麻烦。假设您在用户通过 AJAX 调用登录站点后检索用户的敏感信息。你这样称呼:
https://www.mySite.com/pathToCFC/MyCFC.cfc?method=getBankInfo&userID=2343
所以这显然是非常不安全的,因为任何人都可以从浏览器调用它并更改用户 ID 以获取不同用户的银行信息。
我已经阅读了有关在远程函数上使用角色属性并使用 cflogin 对用户进行身份验证的信息,但即使使用此功能,您是否也不必像上述调用一样传递用户 ID?经过身份验证的用户是否仍然能够切换用户 ID 以发现新用户的银行信息?
最佳答案
不要从客户端传递用户 ID。用户 ID 和其他敏感数据应存储在服务器端。事实上,从客户端传递的每一位数据都必须被认为是可疑的,并经过验证。
因此,例如,如果您使用 cflogin,并且您在单个服务器或粘性 session 服务器上,则将用户 ID 和任何其他关键信息存储在 session 范围内。
在每个请求中,您从 session 中获取这些数据,而不是从客户端提供的数据中获取。
这是 User Security in Coldfusion 的一个很好的起点
关于ajax - 在 Coldfusion 中保护远程 CFC,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3953531/