今天是2018年9月7日
晚一点看完比赛突然想起来URL传参的问题。
当页面使用URL传参时,可以在浏览器通过修改URL来达成修改传参的效果,对于某些要插入到数据库的操作,这样的现象就略微有些危险了。虽然能使用doPost()方法不再在URL中显示传递的参数,但是通过尝试我发现,在已知参数名的情况下,依然可以通过URL进行参数的修改。
分析:
其实很容易明白,不过在页面中我是使用了url?arg=的方式,还是利用form-submit的方式,最终使用的都是request.getParameter()在页面开始前获取参数,而后在URL中传递的参数都会再次触发request.getParameter()从而覆盖掉之前的数据。
思考:
在明白了以上内容后,我尝试使用重定向response.sendRedirect()方法在不修改URL的情况下重定向,继而发现这样依然避免不了在新的页面使用request.getParameter()方法来获取上一个页面中的内容。
联想到上一次的验证码,我想到了使用Session来尝试在新的页面直接由Session获取隐私数据,而不再使用这种传参方式。
困难:
然而很快我就发现这种想法的实现似乎有些难度,主要问题在于,我似乎没有办法把当前页面用户填写的数据马上获取后存入Session中,获取当前页面用户填写的内容的方法我能想到的是JavaScript的document.getElementById()函数,而这个数据我并没有办法将其存入Session中。
解决:
之后我想到了使用Servlet尝试完成,创建了用于测试的TestServlet类,重写了其doPost()方法,同时也将doGet()方法默认为doPost()方法。
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
// TODO Auto-generated method stub
String c=request.getParameter("c");
request.getSession().setAttribute("c_val",c);
response.sendRedirect("../index4.jsp");
}
此处遇到了一个问题:在Servlet中转发/重定向的文件路径与jsp中并不相同,如上代码中,如果单填写index4.jsp是无法访问的,会404。在查阅了相关资料后发现要写../index4.jsp
配置web.xml
<servlet>
<servlet-name>TestServlet</servlet-name>
<servlet-class>com.YuChi.TestServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>TestServlet</servlet-name>
<url-pattern>/servlet/TestServlet</url-pattern>
</servlet-mapping>
运行
直接访问
url修改
到此为止,终于实现了对于url传参的屏蔽效果,但事实上我并不知道这种所谓的屏蔽是否存在其意义,因为当我们使用doPost()方法传参时,用户是没有办法通过url得知控制参数的变量的,那么想要通过url修改参数的可行性也就有待考证了。
网友评论