@苏苏
3年前 提问
1个回答
越权访问该怎么防御
Andrew
3年前
防御越权攻击需要做好以下几点。
越权访问突破的首要是没有对用户的身份做判断和控制,防护这种突破可以通过session来控制。
用户登录成功后,把用户名和UID等信息写入到会话中
当查看个人信息时,从会话中取用户名,而不是从GET和POST取,此时用户名就是没被篡改的。
防御越权攻击需要做好以下几点。
越权访问突破的首要是没有对用户的身份做判断和控制,防护这种突破可以通过session来控制。
用户登录成功后,把用户名和UID等信息写入到会话中
当查看个人信息时,从会话中取用户名,而不是从GET和POST取,此时用户名就是没被篡改的。