在某些网页或视图中,我将信息显示在表格中。列值呈现为链接。通过网址更改保存信息
问题:
- 当我将鼠标悬停在链接,它的网址是在浏览器底部可见。
当我点击链接时,显示URL中请求的资源信息。 (www.someurl.com/Employee/67给了我员工id = 67的信息)。
现在,该URL显示在浏览器中。如果更改URL,以www.someurl.com/Employee/88,它显示了ID = 88虽然登录的用户是不应该看到的信息员工ID 88
这是严重的安全员工的信息漏洞。
我想以下为可能的解决方案:
URL屏蔽在应用程序级的URL
Base64编码,以缩短和混淆,所以用户不能只是扔在URL值。
@Html.AntiForgeryToken()
和ValidateAntiForgeryTokenValidation
机制
是否有更好,更安全的做法除了上面来解决这个问题?