使用:ColdFusion 10,JQuery 1.9,IIS
我制作了一个CFC(允许远程访问),用于处理将注释插入数据库的过程,无论它们是新注释还是对现有注释的答复。
当您要发表评论时,我有一个提交给该CFC的表格。
目前,我正在将(作为隐藏字段)表单变量传递给CFC,以告诉它有关要插入的注释的各种信息:例如,User
该注释是针对(RecipientID)的,是CommentID
其引用的(如果是答复的话) )。这些值变化很大,因为有时一个用户在回复另一个用户的评论。
我不想以我的形式发送隐藏的变量,因为它很容易被恶意者修改。如何使用表单变量(例如,注释正文)发送主要的Form信息,但仅使用ColdFusion传递敏感变量,从而使其无法被黑客操纵?
我可以做的一件事是提交回页面本身,然后使用它<cfinvoke>
来调用CFC并传递参数。我将在调用中而不是在表单中设置参数。这是正确的方法吗?
关于“我可以做的一件事是提交回页面本身,然后使用它来调用CFC并传递参数。我将在调用中而不是在表单中设置参数。这将是正确的方法吗?它?”
我认为这比提交给cfc的要好得多,这就是您说的现在正在做的事情。此主题的轻微变化是:
就不使用隐藏的表单域而言,您可能会遇到麻烦。可以按照Henry的建议将用户信息存储在会话范围中,但是收件人信息很难保护。您可以将收件人ID设置为表单字段名称的一部分。然后,为了保护自己免受不必要的困扰,请在cgi.http_referrer变量上添加另一项检查。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句