如何停止HTML到JSP页面重定向的cookie操作?
我试图将用户从html页面重定向到jsp页面,该页面已使用.war文件部署在tomcat/webapps上 在这样做的同时,我还通过POST方法将用户的会话信息作为隐藏参数发送如何停止HTML到JSP页面重定向的cookie操作?,html,session-cookies,Html,Session Cookies,我试图将用户从html页面重定向到jsp页面,该页面已使用.war文件部署在tomcat/webapps上 在这样做的同时,我还通过POST方法将用户的会话信息作为隐藏参数发送 借助burpsuite工具(安全测试工具),用户可以轻松地操作cookie并更改登录用户的用户名。我怎样才能阻止这种cookie操作 > P>无法控制/阻止浏览器/客户端发送的内容,因此不要将接收到的数据视为事实/真值。你的应用程序不应该只看用户名然后说“哦,是管理员用户,我显示了整个管理员区域” 为了防止篡改来自服务器
借助burpsuite工具(安全测试工具),用户可以轻松地操作cookie并更改登录用户的用户名。我怎样才能阻止这种cookie操作 > P>无法控制/阻止浏览器/客户端发送的内容,因此不要将接收到的数据视为事实/真值。你的应用程序不应该只看用户名然后说“哦,是管理员用户,我显示了整个管理员区域” 为了防止篡改来自服务器的数据或至少检测到更改,您可以使用加密或数字签名。使用加密数据时,无法更改数据。您不知道如何解密数据并正确加密更改的数据,因为您没有加密密钥。使用签名数据,您仍然可以读取数据,但签名确保您可以检测数据是否已更改
在您的情况下,您可以使用JWT而不仅仅是用户名。JWT包含一个数字签名,用于检查数据是否已更改。您的“测试团队”可以更改数据,但您的服务器可以立即看到数据已更改,并拒绝接收(更改)的信息。您无法控制/阻止客户端发送的内容。但为什么浏览器发送的“用户名”cookie很重要?会话cookie应该只包含要使用的会话的id(它保存服务器端的所有信息)。我的项目的安全测试团队提出了这个问题,当我们单击链接时,在页面重定向期间,他们可以更改用户名(使用他们的工具)这也是产品的一个主要安全问题。为什么要将用户名保存在cookie中?用户名不应该是识别用户的唯一信息。通常使用其他技术,如会话或JWT。通过这种方式,或者在客户端/浏览器中不存储任何信息,或者在不破坏存储数据完整性的情况下(如使用加密签名)无法更改存储的数据。请您的问题包括您正在构建的系统的更详细描述,其中/如何涉及重定向,以及您正在客户端/浏览器和服务器之间发送哪些cookie。您好,Progman,我没有明确使用cookie。使用war文件在同一个tomcat/webapps上部署了两个不同的应用程序。从应用程序A的HTML页面,我重定向到应用程序B的JSP页面,并在POST请求中将用户名作为隐藏参数传递。示例代码如下: