62,254
社区成员
发帖
与我相关
我的任务
分享关于ASP.NET验证请求页面和提交页面的是否是同一个人。
场景:
用户A登陆系统,打开一个页面,输入相关信息,如果提交,系统会为A用户按照提交信息对相关数据进行处理,此时页面上的信息是符合A用户的期望的
此时,用户B使用浏览器的另外一个窗口访问系统,退出已登录的A身份并以B用户登陆,此时新的窗口中会显示B的登陆身份,但旧有未关闭上一个窗口由于没有刷新触发,仍然显示A用户的登陆身份
接下来,B在新窗口中执行了相关操作,最小化新窗口后离开
此时若A用户返回,会看见之前自己使用的第一个窗口,显示自己的登陆信息以及自己之前的输入结果,有相当大的可能会继续之前的操作之后提交请求,但此时系统对A正在使用的浏览器的身份识别实际上是B用户,如果没有相关的身份校验,则B用户的数据可能会被A错误修改。
请问该如何判断。
用户A登陆系统,打开一个页面,输入相关信息,如果提交,系统会为A用户按照提交信息对相关数据进行处理,此时页面上的信息是符合A用户的期望的
此时,用户B使用浏览器的另外一个窗口访问系统,退出已登录的A身份并以B用户登陆,此时新的窗口中会显示B的登陆身份,但旧有未关闭上一个窗口由于没有刷新触发,仍然显示A用户的登陆身份
接下来,B在新窗口中执行了相关操作,最小化新窗口后离开
此时若A用户返回,会看见之前自己使用的第一个窗口,显示自己的登陆信息以及自己之前的输入结果,有相当大的可能会继续之前的操作之后提交请求,但此时系统对A正在使用的浏览器的身份识别实际上是B用户,如果没有相关的身份校验,则B用户的数据可能会被A错误修改。
请问该如何判断。
...全文
请发表友善的回复…
发表回复
應燁軍 2010-12-20
- 打赏
- 举报
这个貌似是权限问题,A既然都退出登入 为何刷新A未关闭的页面还能进行提交 ,
如果能提交说明这个页面不用登入也可以操作!!
也就是楼上说的身份验证问题...
子夜__ 2010-12-20
- 打赏
- 举报
[Quote=引用 1 楼 q107770540 的回复:]
每次操作触发前进行身份校验
这样应该很麻烦吧?
每次操作触发前进行身份校验
这样应该很麻烦吧?
q107770540 2010-12-20
- 打赏
- 举报
每次操作触发前进行身份校验
lgyQA 2010-12-20
- 打赏
- 举报
写在基类里 用session判断
