Атака безопасности на URL-адрес данных в html

Question

<a href="#recommend_tab" id="vendors_reco" role="tab" data-toggle="tab" data-url="/my/plan/getvendors/{{id}}/" aria-expanded="true">

Я использую приведенный выше код в html, и это устаревший код. Как я могу предотвратить атаку системы безопасности здесь, поскольку злоумышленник может заменить значения в id =, скажем, 1647353, и получить результаты для другого запроса.

Пожалуйста, посоветуйте

Answer 1

Проблема, с которой вы столкнулись, называется «небезопасные прямые ссылки на объекты». Это хорошая информация, с которой я в основном согласен: https://blog.detectify.com/2016/05/25/owasp-top-10-insecure-direct-object-reference-4/

Я не согласен с тем, что есть только одно решение проблемы. Их два:

1. Вы либо делаете ссылки безопасными, выполняя аутентификацию и авторизацию
2. Вы делаете ссылки косвенными и трудно угадываемыми (как это делает YouTube со ссылками)