平行越权

系统描述：在如下图的会员系统中，门户项目是使用纯html做页面的。

数据交互：html使用Ajax请求门户项目的一般处理程序--》门户项目请求接口项目的一般处理程序。

导致问题：门户项目即使做了登录验证，也存在平行越权的问题。

解决方法：

个人信息的查询--接口项目在返回的JSON中添加会员卡号，该会员卡号需要和Session中的会员卡号对比，一致才返回给页面。

提交--浏览器提交的会员卡号要替换成Session中的会员卡号，同时接口项目中所有的提交接口都需要加上会员卡号，如删除购物车、取消订单等接口，不可只传ID。