如果我的ChangePassword表单包含用户的隐藏ID字段,该怎么办?
BadPerson知道GoodPerson的ID.他用FireBug打开Change Password表单,将他的Id更改为GoodPerson的Id,因此GoodPerson的密码更改.
当然我可以创建一些可以防止这种情况的服务器逻辑,但我认为应该有一些开箱即用的解决方案,如果隐藏的字段被更改,我会不知道.
提前致谢.
编辑
好的,更改密码是个坏例子.我在隐藏字段中具有id的任何编辑表单都存在同样的问题.
解决方法
没有什么可以让你知道隐藏字段值的值是否已经改变.对于用户更改其密码,这意味着他需要进行身份验证.使用表单身份验证时,当前经过身份验证的用户的ID存储在无法修改的加密cookie中.
这就是说您不应该使用隐藏字段来存储当前连接的用户.只需使用内置的FormsAuthentication mechanism in ASP.NET,永远不要将这些信息存储在隐藏的字段中. ASP.NET知道cookie的值未被篡改的方式是它使用配置中指定的machineKey进行签名.
处理安全性和身份验证时应遵循一条重要规则:始终使用内置安全机制,永远不要自己动手.
原文地址:https://www.jb51.cc/aspnet/249214.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
