Ruby China

Ruby rails 参数前后端参数传递如何防止参数被更改呢?

lobb · 2023年07月05日 · 最后由 willx 回复于 2023年07月05日 · 420 次阅读

在图中更改 数字 4 很容易造成向不是好友的列表用户发送请求,该如何防止前后端参数传递不被有效更改,还能正确的向用户发送请求呢?

yfscret #1 2023年07月05日

要么前端不要用 id,使用 uuid 做主键,要么后端做限制,判断当前操作用户是这条信息的 creator 或者超管权限才可以删除

1 个赞
xinyifly #2 2023年07月05日

不用防止参数被更改,应该做权限控制

pundit 了解一下

1 个赞
spike76 #3 2023年07月05日

同楼上。

不过如果你非要防止更改,且页面是后端渲染的话,可以给请求链接加个签名,后端校验签名...😅

2 个赞
willx #4 2023年07月05日

很简单,你这里应该先在接口里校验好友关系,如果不是好友需要报错 403 forbidden 之类的。

接口不应该信任前端参数,必须做校验的,不做校验就是安全漏洞了。

2 个赞
需要 登录 后方可回复, 如果你还没有账号请 注册新账号