Предотвращение небезопасных прямых ссылок на объекты¶
Небезопасная прямая ссылка на объект (insecure direct object reference) — ситуация, когда пользователи получают доступ к объектам, к которым у них доступа быть не должно, используя шаблоны в URL-адресах.
Например, в нашем приложении с рецептами пользователи могут просматривать все рецепты, а редактировать - только свои. Когда просматривается чужой рецепт, кнопка “Изменить” не отображается.
Пусть пользователь нажимает эту кнопку на своём рецепте и замечает адрес страницы редактирования /Recipes/Edit/120, где 120 — идентификатор рецепта в БД. Если изменить этот идентификатор на, скажем, 121, можно получить доступ к сущности, к которой пользователь не должен иметь доступа.
Для решения этой проблемы необходимо использовать авторизацию на основе ресурсов
Дата создания : 24 октября 2022 г.