首先,当用户Login 成功的时候,把用户的一些信息(如userid )存到session,同时根据用户的http header的信息以及sessionID等东东生成一个key传回客户端。在后续的交互中,客户端必须提供该key,同时检测所有的信息是否正确。
其次,尽量采用POST,如果一定要用GET(有时候还是GET方便),把所有的数据加密(包括Field Name),在地址栏看到的是a.aspx?sadfkjeijf03298r23rojw9jfwldf9sjpd, 到了server端再处理,一般来讲用户是没办法自由修改数据的,就算是碰巧,也会导致验证失败。
而对于敏感信息,在function里同样要再次验证用户。
这样,基本上是够用了,当然,很多时候,这些都是防君子不防小人的。
其次,尽量采用POST,如果一定要用GET(有时候还是GET方便),把所有的数据加密(包括Field Name),在地址栏看到的是a.aspx?sadfkjeijf03298r23rojw9jfwldf9sjpd, 到了server端再处理,一般来讲用户是没办法自由修改数据的,就算是碰巧,也会导致验证失败。
而对于敏感信息,在function里同样要再次验证用户。
这样,基本上是够用了,当然,很多时候,这些都是防君子不防小人的。