提个问题?关于用户id
请问一下~ 看到有好多网站在登录成功后 都有记录用户会话用于进行用户主页的一些权限操作验证
比如session 还有一些网站直接将用户id 在url地址栏上面显示传递
请问一下类似上面的方法 存在什么安全漏洞 是否在传递的时候或者session的时候 都需要加密一下
还有一个问题就是比如登录后 对于用户主页操作的权限管理 一般是如何设计还有没有别的方法可循?
[解决办法]
当然有漏洞。如果你允许用户输入一个URL,而不对它过滤的话,那么有可能造成跨站攻击。
[解决办法]
必须会有点漏洞。。。。根据你需要来,可以加密的。。。。貌似有个什么MD5的
[解决办法]
伪静态。。
