如果form表单传值的话赶紧不太安全。
比如说我要把某些参数hidden起来进行传值的话,然后我用chrome查看元素修改hidden里面的post的值的话,那么传值过去的就是我已经修改过的post值了。
不知道大家能不能看懂我的意思
回复讨论(解决方案)
可以用将军令
别开玩笑,我试过了,改完元素的话传值照样是可以传进去的
form 表单本来就是用来获取用户输入的数据用的,要传一些隐秘的数据一般不用它。
除非发送方的加密和接收方的解密都是独立控件,不然就没什么安全可言
https最安全
form 表单本来就是用来获取用户输入的数据用的,要传一些隐秘的数据一般不用它。
那像支付宝价格参数怎么传过去呢?demo里面给的是post过去的。
我现在没辙了准备把价格弄到session里面传过去了
为什么要放在 hidden 中传来传去呢?
再说你收到后就不核对一下么
再说你收到后就不核对一下么
对了,核对一下,脑子秀逗了
然后除了get和post的话像这种比较重要的数据传值的话我是真的不太清楚怎么传值,所以才来问问有经验的人
SSL
客户端其实保证不了的,你只能在服务器端做校验,看传来的对不对。
还有你说的“弄session传过去”,你搞错了吧!
price 显然不能依赖传入的值(正像你说的那样可能被篡改)
既然是需要在接收后核实,那么就没必要放到表单中去了
price 显然不能依赖传入的值(正像你说的那样可能被篡改)
既然是需要在接收后核实,那么就没必要放到表单中去了
我明白这么做肯定是非常不对的,但是我现在不知道应该怎么把price的值安全给到下一个支付页面。
现在我的传值一般用的都是get,post,session,就用过这三种方法。
楼上说的ssl传值的话说实话一点也没接触过,还是说像支付price这类关键参数都是ssl传值过去的?
curl 或 sock
肯定不会是通过用户表单提交的
在下一个页面, 再算一次,价格!
在服务端根据用户购买的商品的ID再查一次数据库,进行价格计算
然后给出价格确认页面就可以了
post比get要安全,可以尝试使用AJAX
curl 或 sock
肯定不会是通过用户表单提交的
+1
不应由客户端直接传到第三方
应该提交到服务器端,再由服务器端程序做一次安全校验,再传给第三方
这样,除非采用极端手段,不然只能拦截/修改客户端->服务器端,不能拦截服务器->第三方