我必须在我的网站的一个页面中集成评论部分。当用户对某个特定帖子发表评论时,帖子id用于标识用户正在评论的帖子。帖子id位于相应帖子的输入隐藏字段中。或者,我也可以在标签中使用类似data-id属性(HTML5)的东西来存储id。但有更安全的方法吗?post-id是开放的,任何人都可以检查和更改它的值,甚至可以从chrome更改。这是一个很大的安全问题。该页面中可能有大量的帖子,我正在使用ajax调用插入注释。最好的方法是什么?
坦率地说,在JavaScript方面,任何东西都可能被编辑或滥用。在控制台中,他们可以发送任何他们想要的POST请求。你对此无能为力,但你可以保护自己免受虐待。
黄金法则是永远不要信任来自用户的数据。例如,如果有人用给定的ID向您发送了对帖子的编辑,请验证该帖子属于登录用户。如果是这样,即使他们篡改了表格上的ID,也没关系,因为这无论如何都是他们的。
你需要根据情况调整你的防护措施。