如何解决忽略 Sinatra POST 请求中的查询参数
我有一个带有用于处理关键任务的 POST 声明的 padrino/Sinatra 项目:
post :deletewidget
# widget ID is POSTed from page and is stored in params[:widgetid]
Widget.get(params[:widgetid]).destroy!
end
在将数据发布到端点 https://myapp.com/deletewidget
并在标头或表单字段中设置变量 widgetid
时工作正常。 padrino 可以处理人们试图从我的应用之外的任何地方发帖的任何潜在 CORS 问题。
但是,它不会阻止我的应用程序中的不良行为者发布并使用第三方工具修改被调用的 URL 以添加查询参数来覆盖 ID,即:
POST https://myapp.com/deletewidget?widgetid=12345
有没有办法检测并可能去除查询参数以防止恶意行为者尝试上述操作?或者也许给 FORM 字段参数比查询参数更高的优先级?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。