子页面权限安全问题

提问 已结 6 94
dahua08
dahua08 VIP3 2019-03-14
悬赏:20积分
版本:renren-security 2.1 浏览器:
有一类功能,主页面调用子页面,主页面一般配置到菜单中,而子页面不会配置到菜单,这样的情况,主页面是权限受控的,而子页面不受控,这样就存在其他不应该有权限查看的用户,可以通过地址栏查看到子页面的内容的风险,如何避免这个风险,同时不要把子页面配置到菜单中去,有没有非常便捷的方法?
回帖
  • 子页面的数据,是通过接口控制的,没权限访问接口,就可以了,别把事情复杂化 face[哈哈]
    0
  • dahua08
    2019-03-14
    这个问题曾经发生过重大事故,所以我特别关心,你看一下截图 img[//cdn.renren.io/cad93201903140936099535.png] 这是直接用地址栏打开的页面 如果这是某个员工的工资明细,那就麻烦大了
    0
  • @dahua08 打开页面没关系啊,也就能查看html代码,任何从数据库里读出来的数据,是没权限查看的
    0
  • @dahua08 你们之前会出这样的问题,应该是后端没有做权限效验,如果做了,不存在这个问题
    0
  • dahua08
    2019-03-14
    @Mark 是的,像子页面这种情况,不需要访问权限受控,做到 数据权限管控,应该就能避免风险
    0
  • @dahua08 是的
    0
本帖已结贴