1
我建立一個應用程序,將通過AJAX做了很多,很多人將不得不採取一個用戶ID或documentid,PHOTOID等應該將ID加密爲AJAX調用?
什麼被認爲是最好的做法與這些ID,他們應該被加密(甚至在被放入html頁面之前?),還是隻是發送它們?
A
回答
1
這取決於你對ID做什麼。我們正在構建一個在服務器上無狀態的應用程序,因此我們將ID作爲請求的一部分發送,以便檢索實體,應用必要的業務邏輯並將其保留。在這種情況下,我們肯定需要加密ID以防止Insecure Direct Object Reference。
還有其他選項,例如,您可以在對該實體進行任何更改之前對服務器上的實體應用授權。這當然假定您具有身份驗證功能。在我們的情況下,我們不認證,因此這種授權無論如何不會工作。
只是對此進行更新,我們並不需要客戶端上未加密的ID,因此它的服務器會對其進行加密併發送第一個響應。隨後發出的請求包含加密的ID。
1
如果您確實想要隱藏某些行的ID(從數據庫?),您可以簡單地對它們進行異步加密並將它們設置爲cookie。這樣,您在執行ajax請求時就不必關心他們,因爲他們無論如何都可用。
如果您想要做一些選擇並將它們作爲表單提交的結果發送,則不使用cookie的相同加密方法也適用。
但說實話,我幾乎沒有看到任何理由來加密數據庫ID。
相關問題
- 1. 我應該加密哪些數據以創建安全的ajax調用?
- 2. Ajax調用不應該等待響應
- 3. 應該將NullPointerException調用爲NullReferenceException?
- 4. 從AJAX調用中檢索BASE64加密
- 5. AJAX調用應該在服務器上?
- 6. jquery ajax應該調用函數
- 7. $ .ajax將[]添加到密鑰
- 8. 在發送給客戶端之前,應該將表的Id列加密/散列
- 9. 我們應該將masterdata調用合併爲一個調用嗎?
- 10. 我應該使用什麼設備唯一ID作爲加密某些值的密鑰
- 11. 通過id來Ajax調用
- 12. 爲什麼不應該使用密碼作爲會話密鑰
- 13. 我應該加密我的Dropbox應用程序密鑰/祕密嗎?
- 14. 將C#加密轉換爲C++加密
- 15. 將一個唯一的ID傳遞給Square,並將該ID作爲響應
- 16. 爲Ajax調用
- 17. ajax請求和響應加密
- 18. 我應該存儲openid claims_id加密嗎?
- 19. 應該加密jwt Web令牌嗎?
- 20. 我應該使用AJAX嗎?
- 21. 加密會話ID
- 22. 將php變量添加到ajax調用
- 23. Ajax調用加載
- 24. NHibernate應該爲實體分配id還是應該由應用程序處理?
- 25. 爲jmapping ajax調用加載圖像
- 26. 會話ID應該
- 27. 如何加密數據並使用Ajax調用傳遞數據?
- 28. DES等加密算法應該應用於位還是字節?
- 29. OnReceive未被調用,因爲它應該
- 30. 我應該在我的iOS應用程序中加密Amazon S3密鑰嗎?
你在用什麼語言? –
客戶端安全不起作用 –
@GungFoo可以不將ID發送到客戶端加密,然後在ajax調用中加密並解密服務器端? – Kyle