我打算开发一个JSP论坛,如何防止用户通过贴图提权?
用户发个贴子,贴图的图片地址类似:/Admin/Modify.jsp?action=Update&ID=2&Rule=1
假设我已经登录或后台,然后进入论坛看帖,这样岂不会将用户ID为2的用户权限提升到1(管理员)?好坑吧?
如果是asp的话,用Request.Form("Rule")的方式取值,就不会出现这样的安全问题。
jsp的request.getParameter不区分GET和POST,算个重大的安全漏洞把?
jsp也有类似asp的request.form方法吗?