java项目中普遍存在的一个bug,用户直接可以通过url访问本人没有权限的页面
来源:互联网 发布:无损音乐下载网站知乎 编辑:程序博客网 时间:2024/05/17 23:57
1、问题描述:
java项目中普遍存在的一个bug,即使在项目做了权限限制,但是在用户正常登录后,可以利用其他工具获取他本人没有权限访问的路径,然后在浏览器中直接打开页面,这样就对项目安全造成很大的威胁,这种问题在很多项目中都存在,但处理方式各有不同。
2.问题原因:
一般项目都是在用户登录时与登录成功后对项目功能点的展示上,但对用户登录后“不合法”的访问不能控制
3、解决思路:
a)从项目是如何对用户做出权限限制的地方入手。(一般项目对用户做权限限制都会有用户权限表)
b)考虑是否可以在用户登录后,根据用户信息去查询权限表,查询用户访问的url是否在用户权限表里存在。根据存在与否对其进行进一步限制。
c)考虑添加此功能是否对项目稳定及效率会产生影响。如果直接查询用户权限表对会数据库产生压力,所以可以考虑将权限表的内容添加到项目缓存中
d)此功能的引用最好在过滤器节点上。
0 0
- java项目中普遍存在的一个bug,用户直接可以通过url访问本人没有权限的页面
- 如果用户没有登陆直接通过url访问其它页面的解决办法
- oa系统禁止用户直接通过url去访问<iframe>的页面
- 防止用户直接访问url的权限控制
- 防止用户直接访问url的权限控制(使用过滤器)
- 防止用户直接访问url的权限控制
- 用户的访问权限过滤器,防止用户直接输入URL直接访问资源。
- 用户的访问权限过滤器,防止用户直接输入URL直接访问资源。
- 用户的访问权限过滤器,防止用户直接输入URL直接访问资源。
- 权限系统--通过shiro进行按钮及页面访问url的权限控制
- java 判断一个url是否可以访问的方法
- HttpServletRequest的getServletPath、getServletURI、getServletURL等区别 &&如何防止用户通过直接输入URL访问网页
- Android如何在app中通过一个按钮直接跳转到的系统的权限设置页面
- Android如何在app中通过一个按钮直接跳转到的系统的权限设置页面
- 在sharepoint中提供了一个Webservice,通过该接口可以直接得到当前用户的基本信息.
- 如何让外网可以访问本地的JAVA项目的页面
- jsp写的页面,内网访问没有问题,外网访问用户访问权限出现问题
- 通过request.getHeader("referer")防止用户手动修改URL访问非权限页面
- Android工程中添加图片资源
- 常用的正则表达式 js工具类
- Gradle配置打包设置不同域名
- iOS Crash 类型
- 安卓调用系统相机拍照,并把图片保存到SD卡中 进行 尺寸和质量的压缩
- java项目中普遍存在的一个bug,用户直接可以通过url访问本人没有权限的页面
- 关于oracle的ORA-00607和ORA-00600错误解决方法
- python 文件读写时用open还是codecs.open
- 23.Mediator-中介者模式
- X-code不联想,类库无法查看解决办法
- C++11 毫秒时间
- VirtualBox(启动失败:intel_rapl no valid rapl domains found in package 0 error VirtualBox)
- 24.Interpreter-解释器模式
- 【干货分享】流程DEMO-人员调动流程