<a href="#recommend_tab" id="vendors_reco" role="tab" data-toggle="tab" data-url="/my/plan/getvendors/{{id}}/" aria-expanded="true">
我在html中使用上面的代码,这是一个遗留代码,我如何在这里防止安全攻击,因为攻击者可以替换id=1647353中的值,并获得另一个查询的结果。
请告知
您所面临的问题被命名为"不安全的直接对象引用";。这是一条很好的信息,我非常同意:https://blog.detectify.com/2016/05/25/owasp-top-10-insecure-direct-object-reference-4/
我不同意的是这个问题只有一个解决办法。有两种:
- 您可以通过执行身份验证和授权来确保引用的安全
- 你让引用变得间接且难以猜测(就像youtube对链接所做的那样(