如何在使用 Javascript 或 jQuery 传递隐藏参数时转到 html 页面?
How can I go to an html page while passing a hidden parameter using Javascript or jQuery?
完成 ajax 调用后,我想将用户定向到 html 页面,但同时传递一个隐藏变量(此变量包含敏感信息,不应显示在 URL 中向上)。
我怎样才能做到这一点?
window.location.href = 'userpage.html?id=14253';
但是 id 仍然不可见?在将用户发送到 userpage.html 时,我可以 POST 以某种方式获取 ID 吗?
无论如何,您传递的信息都是不安全的。如果愿意,您可以使用 XMLHttpRequest 对象提交 post 请求(或使用 framework/library 进行 AJAX 调用)——但用户仍然可以欺骗数据并获得不同的结果.
ID 强制执行应在后端完成。请求的 ID 是否与登录用户的 ID 匹配?不?不要显示它。等等等等
您不应在您网站的客户端检查用户凭据。无论 ID 如何传递给您的脚本,它都可以在您无法检查请求是否有效的情况下被复制。
要开始对授予用户的信息进行远程保护,您需要通过服务器端进行检查。对于每个请求,请确保用户已通过身份验证以查看此类数据。
如果我是你,我会考虑使用 PHP 会话作为检查用户是否经过身份验证的第一道防线。这样做至少会将有关用户的信息保留在用户可以查看的可复制 space 之外。
在 Google 上查找 'php session login tutorial',您会发现大量简单的教程,应该可以帮助您走上正轨。
完成 ajax 调用后,我想将用户定向到 html 页面,但同时传递一个隐藏变量(此变量包含敏感信息,不应显示在 URL 中向上)。
我怎样才能做到这一点?
window.location.href = 'userpage.html?id=14253';
但是 id 仍然不可见?在将用户发送到 userpage.html 时,我可以 POST 以某种方式获取 ID 吗?
无论如何,您传递的信息都是不安全的。如果愿意,您可以使用 XMLHttpRequest 对象提交 post 请求(或使用 framework/library 进行 AJAX 调用)——但用户仍然可以欺骗数据并获得不同的结果.
ID 强制执行应在后端完成。请求的 ID 是否与登录用户的 ID 匹配?不?不要显示它。等等等等
您不应在您网站的客户端检查用户凭据。无论 ID 如何传递给您的脚本,它都可以在您无法检查请求是否有效的情况下被复制。
要开始对授予用户的信息进行远程保护,您需要通过服务器端进行检查。对于每个请求,请确保用户已通过身份验证以查看此类数据。
如果我是你,我会考虑使用 PHP 会话作为检查用户是否经过身份验证的第一道防线。这样做至少会将有关用户的信息保留在用户可以查看的可复制 space 之外。
在 Google 上查找 'php session login tutorial',您会发现大量简单的教程,应该可以帮助您走上正轨。