我想允許用戶在他們登錄後(如在臉書上)編輯其個人檔案頁面上的項目。讓我們打電話給這個頁面profile.cfm
。如何在使用JQuery進行內聯頁面編輯時保持安全
只有當用戶登錄並且他們的憑據與頁面的憑據相匹配時,我很困惑如何允許內聯編輯頁面(即,用表單輸入替換頁面元素,以便用戶可以編輯內容)他們想編輯。
傳統上,我將有一個單獨的頁面來編輯像profile-edit.cfm
這樣的配置文件。在這個頁面上,我將檢查他們想要編輯的配置文件的ID是否與存儲在其Session變量中的ID相同。如果一切都匹配,那麼頁面將顯示。如果不是,它會失敗。
但是,在JS內聯編輯中,沒有單獨的編輯頁面來處理安全檢查。那麼,只有當正確的用戶登錄時,我怎麼才能啓用JS編輯功能呢?我不希望用戶修改其他人的個人資料。簡單地禁用/啓用基於登錄憑據的內聯編輯Javascript代碼是不夠的,因爲可以輕鬆地使用Firebug等方式重新啓用它。
當然,儘管它們可以啓用JavaScript,但並不意味着服務器將接受編輯,因爲它進行自己的驗證。只是,如果用戶沒有正確的登錄憑據,我寧願用戶甚至沒有可視化編輯頁面的選項。
這是否只是基於JavaScript的控件的預期折衷方案,它們可能對用戶可見(當然惡意修改該頁面)將取決於其他變量無法正常工作?
我從一個邏輯/概念點卡住了這個。
你是如何保存這些偏好的? – 2014-09-02 11:33:00
當用戶登錄時,我將他們的ID存儲在會話變量中,例如SESSION.ProfileID。爲了確保正確的用戶登錄,它會像''然後允許用戶編輯這個配置文件。 Coldfusion使用單獨的模板很容易實現。但它的內聯讓我感到困惑 –
2014-09-02 12:19:27