平行越权
2016-01-28 19:46
218 查看
系统描述:在如下图的会员系统中,门户项目是使用纯html做页面的。
数据交互:html使用Ajax请求门户项目的一般处理程序--》门户项目请求接口项目的一般处理程序。
导致问题:门户项目即使做了登录验证,也存在平行越权的问题。
解决方法:
个人信息的查询--接口项目在返回的JSON中添加会员卡号,该会员卡号需要和Session中的会员卡号对比,一致才返回给页面。
提交--浏览器提交的会员卡号要替换成Session中的会员卡号,同时接口项目中所有的提交接口都需要加上会员卡号,如删除购物车、取消订单等接口,不可只传ID。
数据交互:html使用Ajax请求门户项目的一般处理程序--》门户项目请求接口项目的一般处理程序。
导致问题:门户项目即使做了登录验证,也存在平行越权的问题。
解决方法:
个人信息的查询--接口项目在返回的JSON中添加会员卡号,该会员卡号需要和Session中的会员卡号对比,一致才返回给页面。
提交--浏览器提交的会员卡号要替换成Session中的会员卡号,同时接口项目中所有的提交接口都需要加上会员卡号,如删除购物车、取消订单等接口,不可只传ID。
相关文章推荐
- Django实践:个人博客系统(第十五章 重构代码)
- 换行和回车野史
- 【Spark1.6官方翻译】Spark快速入门
- vi/vim使用进阶: lookupfile插件
- 【NYOJ】[60]谁获得了最高奖学金
- Service
- LeetCode120. Triangle
- 16位模式/32位模式下PUSH指令探究——《x86汇编语言:从实模式到保护模式》读书笔记16
- Swift中的元组(Tuple)
- (有码)代理模式导航控制器传值
- Do not request Window.FEATURE_ACTION_BAR and set windowActionBar to false 错误
- 16位模式/32位模式下PUSH指令探究——《x86汇编语言:从实模式到保护模式》读书笔记16
- 蓝桥杯 - 删除数组零元素
- 工作中的技巧
- 基于CNN的人脸识别
- 关于solver文件中test_iter和test_interval设置问题
- struts2-通过action从后台将json数据传到前台的方法(一)
- C++的一些笔记
- Mysql配置为Master/Slave的常用维护命令
- centos