欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  后端开发

post怎么传值比较安全

程序员文章站 2024-02-07 17:38:16
...
如果form表单传值的话赶紧不太安全。
比如说我要把某些参数hidden起来进行传值的话,然后我用chrome查看元素修改hidden里面的post的值的话,那么传值过去的就是我已经修改过的post值了。

不知道大家能不能看懂我的意思


回复讨论(解决方案)

可以用将军令

别开玩笑,我试过了,改完元素的话传值照样是可以传进去的

form 表单本来就是用来获取用户输入的数据用的,要传一些隐秘的数据一般不用它。

除非发送方的加密和接收方的解密都是独立控件,不然就没什么安全可言

https最安全

form 表单本来就是用来获取用户输入的数据用的,要传一些隐秘的数据一般不用它。

那像支付宝价格参数怎么传过去呢?demo里面给的是post过去的。
我现在没辙了准备把价格弄到session里面传过去了

为什么要放在 hidden 中传来传去呢?

再说你收到后就不核对一下么

再说你收到后就不核对一下么

对了,核对一下,脑子秀逗了

然后除了get和post的话像这种比较重要的数据传值的话我是真的不太清楚怎么传值,所以才来问问有经验的人

SSL

客户端其实保证不了的,你只能在服务器端做校验,看传来的对不对。

还有你说的“弄session传过去”,你搞错了吧!

price 显然不能依赖传入的值(正像你说的那样可能被篡改)
既然是需要在接收后核实,那么就没必要放到表单中去了

price 显然不能依赖传入的值(正像你说的那样可能被篡改)
既然是需要在接收后核实,那么就没必要放到表单中去了

我明白这么做肯定是非常不对的,但是我现在不知道应该怎么把price的值安全给到下一个支付页面。

现在我的传值一般用的都是get,post,session,就用过这三种方法。

楼上说的ssl传值的话说实话一点也没接触过,还是说像支付price这类关键参数都是ssl传值过去的?

curl 或 sock
肯定不会是通过用户表单提交的

在下一个页面, 再算一次,价格!

在服务端根据用户购买的商品的ID再查一次数据库,进行价格计算
然后给出价格确认页面就可以了

post比get要安全,可以尝试使用AJAX

curl 或 sock
肯定不会是通过用户表单提交的

+1
不应由客户端直接传到第三方
应该提交到服务器端,再由服务器端程序做一次安全校验,再传给第三方
这样,除非采用极端手段,不然只能拦截/修改客户端->服务器端,不能拦截服务器->第三方