| 제목 | ajax 에서 post전송시 해킹에 취약하지않나요 | ||
|---|---|---|---|
| 글쓴이 | 꼬마로봇 | 작성시각 | 2016/04/26 10:20:49 |
|
|
|||
|
제가 댓글입력 로직을 ajax 로 post 형식으로 컨트롤러에 전송하게 했는데요 ( 자바스크립트로 구현되있어서 다보여요 ㅠㅠ) 그 값중에 id값이 있거든요 임의의 사용자가 남의 id값을 post에 넣어서 해당 컨트롤러의 URI 에 넘기게되면 본인이 아닌 다른 사용자가 자기 ID로 댓글을 작성할수있을것 같은데 맞나요? 해결방법은 없을까요? |
|||
| 다음글 | 다중 DB 접속 오류 입니다. (8) | ||
| 이전글 | 캐시기간설정 (4) | ||
|
헤덥
/
2016/04/26 10:34:08 /
추천
1
특정 유저의 ID를 uri에넘기지마시고 로그인시 세션에 담아 사용하세요
|
|
꼬마로봇
/
2016/04/26 10:38:46 /
추천
0
아 그럼 ajax 로 호출된 컨트롤러도 세션정보를 가지고 있는건가요?
|
|
kaido
/
2016/04/26 11:35:12 /
추천
1
네. ajax는 특별한 무언가가 아닙니다. 비동기식 호출이지요. 세션은 당연하게도 유지가 됩니다.
궁금하면 세션값을 ajax로 호출해서 땡겨와 보시면 아실듯. |
|
변종원(웅파)
/
2016/04/26 11:38:04 /
추천
1
매뉴얼에서 csrf 검색해보세요. ^^
|
|
꼬마로봇
/
2016/04/26 12:31:20 /
추천
0
친절한 답변들 감사드림니다
|