31. juli 2007 - 17:25Der er
21 kommentarer og 1 løsning
Url encoding og GET / POST
Hejsa...
Jeg roder med asp.net 2.0 og har et simpelt spørgsmål:
Når man sender en variabel fra en aspx side til en ande aspx side via url encoding, hvordan er det så man gør, så brugeren ikke kan se værdien som variablen indeholder i browserens url?
Er det ikke forskellen på om man benytter get eller post?
ja det mente jeg også...probelmet er bare, at det ikke ændrer noget her? Jeg benytter masterpages og content page og det er jo i masterpagen jeg har sat:
jeg kunne selvfølgelig også bare bruge appSetting til at gemme og tilgå data eller session...det behøves jo ikke sendes direkte til siden...det vigtigeste er jo blot at data er tilgængelig når man skal bruge det...
Jeg kan sagtens få det til at virke med almindelig "Cross Page Posting" via url encoding...men der kan man jo se data, hvilket ikke duer...
Jeg kan kan også vælge session eller appSettings eller ja et hiddenfield...
Det vigtigste er blot at brugeren ligemeget hvad IKKE kan se eller tilgå data som sendes...så ved ikke hvilken metode som er bedst?
Kan ikke huske hvordan man bruger hiddenfield så jeg kan tilgå data fra begge sider af, kan du vise mig det? Er det ikke den bedste måde? hvis man også tænker på server load mv...?
As with any other Web server control, the information in a HiddenField control is available during postback. The information is not persisted outside the page.
HiddenField Control and Security The information in a HiddenField control is not displayed when the browser renders the page, but users can see the contents of the control by viewing the page's source. Therefore, do not store sensitive information in a HiddenField control, such as user IDs, passwords, or credit card information.
Så hiddenfield er altså ikke løsningen til sikker "Cross page posting"...er der så kun session tilbage...?
jeg lavede engang til noget lignende hvor data ikke skulle igennem browser en webservice hvor data sendes igennem dem til en server hvor der her blev hold styr på hvilken data der tilhørte dig ud fra en GUID.. det blev altså gemt i en DB.
Det betød så at jeg skulle kalde webservicen fra en anden side med den GUID, som er gemt i session objektet for at få data'en.
men jeg benyttede også POST oven i det hele..
Det betyder så også at der skal arbejdes lidt meget med databasen.. men det virkede godt:)
okey...det er også kun for at være super sikker...pga. jeg også blot overfører et guid...bare med session...og derefter kører den også med webservice til db ;)
og ja...jeg kan hurtig kryptere data i session objektet og komm. mellem webservice og db...så det skulle blive rimelig sikker...
og ja hvis jeg har tid en dag kan jo også rode med url rewriting...men det virker lidt indviklet pt...
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.