Struts2的URL標記 - 隱藏查詢字符串

Question

經過大量的關於stackoverflow的研究後，我張貼這個問題，因爲我找不到解決方案的問題。

要求方案：根據每個客戶ID作爲參數更新客戶列表。

解決方案嘗試：基於從jsp接收到的客戶ID，將它作爲Struts2 url標記傳遞給Action。

面臨的問題 - 在URL上可見的查詢字符串。
http://foo.com/Struts2Example/getCustomerAction?customerId=2

問題：

1. 難道我們不能隱藏查詢字符串，如果我們使用Struts網址標記？
2. 如果我們在使用Url標籤時無法隱藏使用的查詢字符串？上述場景的替代方案是什麼？

代碼struts.xml中，JSP和下面的動作 -

<h2>All Customers Details</h2> 

<s:if test="customerList.size() > 0"> 
    <table border="1px" cellpadding="8px"> 
     <tr> 
      <th>Customer Id</th> 
      <th>First Name</th> 
      <th>Last Name</th> 
      <th>Age</th> 
      <th>Created Date</th> 
     </tr> 
     <s:iterator value="customerList" status="userStatus"> 
      <tr> 
       <td><s:url var="editCustomer" action="getCustomerAction"> 
         <s:param name="customerId" value="%{customerId}" /> 
        </s:url> 

        <p> 
         <s:a href="%{editCustomer}"> 
          <s:property value="customerId" /> 
         </s:a> 
        </p></td> 

       <td><s:property value="firstname" /></td> 
       <td><s:property value="lastname" /></td> 
       <td><s:property value="age" /></td> 
       <td><s:date name="createdDate" format="dd/MM/yyyy" /></td> 
      </tr> 
     </s:iterator> 
    </table> 
</s:if> 
<br /> 
<br /> 

struts.xml-

<!-- Get Customer Details - To Pre-Populate the form to update a Customer --> 
    <action name="getCustomerAction" method="getCustomerById" 
     class="com.hcl.customer.action.CustomerAction"> 
     <result name="success">pages/customerForm.jsp </result> 
    </action> 

客戶採取的行動接收機類

public class CustomerAction extends ActionSupport implements ModelDriven { 

Logger logger = Logger.getLogger(CustomerAction.class); 

Customer customer = new Customer(); 

List<Customer> customerList = new ArrayList<Customer>(); 
CustomerDAO customerDAO = new CustomerDAOImpl(); 

public Customer getCustomer() { 
    return customer; 
} 

//Set Customer onto Value Stack 
public void setCustomer(Customer customer) { 
    this.customer = customer; 
} 

public List<Customer> getCustomerList() { 
    return customerList; 
} 

//Set Customer List onto Value Stack 
public void setCustomerList(List<Customer> customerList) { 
    this.customerList = customerList; 
} 

public String execute() throws Exception { 
    return SUCCESS; 
} 

public Object getModel() { 
    return customer; 
} 



// Edit customer details, it will retrieve the records based on customerId 
//SkipValidation is used to skip the validate() 
@SkipValidation 
public String getCustomerById() { 

    logger.info("** Customer Id to edit ** " + customer.getCustomerId()); 

    customer = customerDAO.customerById(customer.getCustomerId()); 

    return SUCCESS; 

} 

Answer 1

一些無序因素仍然這樣做的用戶ID查找：

• 使用不同的操作（execute方法只） ，或同一動作的不同方法來執行不同的「動作」;
• 每個動作的名稱/方法應該匹配操作中執行和不言自明，例如，你應該有一個editCustomer方法（或動作），以編輯客戶和一個getCustomer方法（或動作），以獲得客戶;
• GET HTTP方法應該用於讀取數據，而POST HTTP方法應該用於發送數據;每個非讀操作理應通過POST執行;使用GET發送數據是20年前出現的一種古老的不良習慣，從未死亡：/使用POST的原因是隱藏的URL，更高的負載能力，發送二進制數據的能力等等。

也就是說，像http://foo.com/Struts2Example/getCustomerAction?customerId=2的網址應清晰可見（被書籤爲例），理想的應該美化（REST風格，像StackOverflow的）：像http://foo.com/Struts2Example/Customer/2/

的URL像http://foo.com/Struts2Example/editCustomerAction?customerId=2可以」因爲你沒有傳遞任何其他參數;你知道要編輯的客戶的ID，但不是要更改的數據... 它會變成類似於： http://foo.com/Struts2Example/editCustomerAction?customerId=2&name=foo&lastname=bar&age=42，這將工作，但正如說（和作爲你的問題問）應該隱藏，並處理通過POST。

如果您要在頁面的source中打印ID，那麼應該不需要將它們隱藏給用戶;

您需要做的是確保用戶不能在指定的範圍之外更改ID; 如果您在頁面中繪製了ID {1,2,3}的客戶列表，您必須阻止用戶嘗試更改標識並試圖用ID = 4更新客戶...以實現此目的，只需將ID列表存儲在session之前填充頁面，然後檢查頁面返回的ID對列表。如果它們不匹配，則阻止惡意操作。

希望有幫助

Answer 2

一種替代，是加密userID並將其發送回HTML頁面。維護客戶端的映射。當您提交請求時，POST POST加密值。解密/加密邏輯將在服務器端。 這會增加系統的開銷，但與安全性相比，這對性能有足夠的權衡。 也請看看@ jcryption.org/info，它在MIT和GPL許可下。

更簡單的解決方案是將其轉換爲「POST」操作，以便值在HTTP請求正文內傳遞。如果它通過HTTPS，它會被加密，但是你可以使用谷歌開發者工具或IE9開發模式