例如,当我从视图中的帐户列表中选择一个帐户时,URL 会显示如下内容:
http://example.com/BankAccount/EditBankAccount?bankAccountId=12
有没有办法隐藏主键,因为北向阻止某人编辑 URL 中的 id 并发布它,以获得不同的帐户。
我可以添加代码来查看当前用户是否可以查看这个账号,但是有没有更好的方法?
【问题讨论】:
标签: asp.net-mvc url
无需从 url 中隐藏密钥。例如,您是否查看过 StackOverflow 上的 url?你到处都挂着PK。否则,您将如何了解当前用户正在尝试编辑哪个银行帐户?
您应该做的是编写一个授权过滤器,以确保 url 中提供的 id 实际上是属于当前经过身份验证的用户的帐户。我已经说明了如何在this similar thread 中实现这样的授权过滤器。
【讨论】:
你问:
有没有办法隐藏主键?
当然有,只是不提供。让我们回顾一下您当前的 URI:
http://example.com/BankAccount/EditBankAccount?bankAccountId=12
^^^^^^^^^^^^^^^^
若要隐藏主键,请将其移除并将其编码为事务脚本名称的一部分,例如:
http://example.com/BankAccount/EditMyBankAccount
^^
我已经强调了不同之处。这个新的事务脚本不需要提供任何主键,因为它始终是关于编辑当前用户帐户的——而且永远不会是不同的。
这应该可以帮助您防止Insecure Direct Object References。
【讨论】:
你可以:
不要给出明确的有意义的词来描述查询字符串参数(如:/EditBankAccount?p1=abc&p2=xyz)
对查询字符串参数进行加密,这样页面访问者就不会找出真正的值
如果适用于您的情况;在加密参数时使用盐值以防止彩虹表攻击。将 salt 密钥存储在会话中。
保持原样并对谁应该在哪个对象上使用什么功能应用严格的安全授权规则(即应用功能和对象级授权)
当然,第3点会让会话过期后的URL失效。
【讨论】: