Если вы хотите запретить пользователям возиться с аргументами GET, я бы порекомендовал следующее:
Добавьте скрытую форму на все ваши страницы.Если щелкнуть в любом месте страницы, некоторые данные будут заполнены в форме и безопасно отправлены через POST / SSL.Вдобавок к деталям отправки, передайте URL, куда вы хотите направить пользователя.
На стороне сервера соберите аргументы, поместите их в сеанс либо глобально, либо под каким-либо идентификатором, который вы добавляете в целевой URL.Отправить перенаправить обратно.Таким образом, если пользователь обновляет страницу, он не беспокоится о данных POST.Кроме того, если он начинает возиться с возвратом и отклонением в приложении, убейте этот кеш сеанса и отправьте его на начальную страницу.
Я видел эту технику в некоторых банковских программах для онлайн-бизнеса.Другое преимущество состоит в том, что пользователь не может открыть новое окно.
По моему мнению, это может добавить некоторую степень безопасности, но сильно изменит подход к разработке и даст вам больше работы.Я никогда не использовал этот подход сам и думаю, что идентификаторы можно безопасно передавать, если у вас есть надлежащая система ORM, которая ни при каких обстоятельствах не позволит пользователю A получать доступ к данным пользователя B независимо от того, какой код используют ваши разработчики.напишу.