gpt4 book ai didi

java - 在 URL 中向用户显示键值是否存在任何安全问题?

转载 作者:塔克拉玛干 更新时间:2023-11-01 22:02:41 26 4
gpt4 key购买 nike

我在我的数据存储中使用实体的键值作为 URL 中的唯一标识符来提取记录:

http://mysite.appspot.com/myaction/1x7s3fgdlbnRlcklkcicLAbcXc2VyQWNjb3VudCIFYW9uZ

这不是一个非常有吸引力的解决方案,也不利于 SEO,但这是我发现在 App Engine/Java 中唯一标识实体的最简单方法。

不过,我主要担心的是,是否存在与显示实体的唯一键值相关的任何安全问题?

最佳答案

编码的 key 包含您的应用 ID、命名空间(如果有)、实体种类名称和 key 名称或 ID。这里有两个可能的问题:该信息的泄露(可能没有问题),以及您接受编码 key 的事实。如果您不检查传入的 key 指定的实体类型是否正确,并且用户应该有权访问它,那么他们可能会传入他们自己的 key ,导致您泄露您不应该泄露的信息.

然而,几乎普遍而言,您已经知道要获取的实体的种类名称,因此更好的想法是仅使用 key 名称或 key ID,并按需构建完整 key 。这也使得 URL 更加简洁。

关于java - 在 URL 中向用户显示键值是否存在任何安全问题?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3652843/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com