rooode
- 浏览: 177 次
- 来自: 北京
-
最新评论
文章列表
减少50%以上参数验证
减少50%以上注入可能
减少90%以上权限验证
减少的都是工作量,提升的是应用安全和性能。
Web应用最具讽刺的事情:服务端经过权限过滤返回给用户一个含有参数的链接,在用户请求该链接时,服务器端还要进行权限安全验证、参数安全验证。
因为URL可以非法访问?参数可能篡改?
是该终结这种模式了。
我们为什么要暴露URL和参数?
传统模式
场景:一个列表页中服务端会生成如下链接
http://www.nourl.io/article.html?id=1
当用户请求该链接时,服务器端会验证地址权限和参数安全
NoURL模式
试试在服务端将上面的URL变成一个随机URL返回 ...