首页 \ 问答 \ Spring MVC和Thymeleaf防止实体Id泄漏(Spring MVC and Thymeleaf Prevent Entity Id Leak)

Spring MVC和Thymeleaf防止实体Id泄漏(Spring MVC and Thymeleaf Prevent Entity Id Leak)

 我有Demand实体。 我可以毫无问题地更新我的实体，但我认为我的approch有一些安全问题。  
 demandController  
@RequestMapping(value = "/details/{id}", method = RequestMethod.POST)
public String updateDemand(@PathVariable("id") Long id, @Valid @ModelAttribute Demand demand, BindingResult result) {
    if (result.hasErrors()) {
        return "demandUpdateForm";

    } else {
        demand.setDemandId(id);
        demandService.updateDemand(demand);
        return "redirect:/demands";
    }
}
 
 serviceImpl  
@Override
public Demand updateDemand(Demand demand) {
    return demandRepository.save(demand);
}
 
 形成  
 <form id="vendorForm" th:action="@{/demands/details/__${demand.demandId}__}" th:object="${demand}" method="post" >
 
 如你所见，我从行动中得到了DemandId 。 例如，我想更新第5个id的demand并获取更新表单。 然后我通过开发人员工具更改了demandId并单击“提交”。 如果我修改id例如2nd和表单更新我的第二个id demand不是原来的第5个。 我该如何防止这种情况发生。 

I have Demand entity. I can update my entity without any problem but I think my approch have some security problem. 
demandController 
@RequestMapping(value = "/details/{id}", method = RequestMethod.POST)
public String updateDemand(@PathVariable("id") Long id, @Valid @ModelAttribute Demand demand, BindingResult result) {
    if (result.hasErrors()) {
        return "demandUpdateForm";

    } else {
        demand.setDemandId(id);
        demandService.updateDemand(demand);
        return "redirect:/demands";
    }
}
 
serviceImpl 
@Override
public Demand updateDemand(Demand demand) {
    return demandRepository.save(demand);
}
 
form 
 <form id="vendorForm" th:action="@{/demands/details/__${demand.demandId}__}" th:object="${demand}" method="post" >
 
As you see I get DemandId from action. For example I want to update 5th id's demand and get the update form. Then I changed demandId via developer tools and click submit. If I modify id for example 2nd and form update my 2nd id demand not original the 5th one. How can I prevent this situation. 

原文：https://stackoverflow.com/questions/37533894

更新时间：2023-07-27 20:07

最满意答案

 使用innerHTML而不是value ：  
document.getElementById("demo").innerHTML = '';

Use innerHTML instead of value: 
document.getElementById("demo").innerHTML = '';

AngularJS预先搜索结果为div(AngularJS typeahead search results in a div)[2023-05-28]

据我所知，来自http://angular-ui.github.io/bootstrap/的typeahead指令的代码（自从我写完之后我就知道了:-)）你将无法只按配置做你在这里问的事。您需要分叉并根据您的需求进行调整。它应该非常简单。如果您觉得应该在指令中更改任何内容以便更容易扩展，请随意打开GitHub问题。 As far as I know the code of the typeahead directive from http://angular-ui.github.io/bootstra ...

根据
标签内容搜索pdf页面(Search pdf page based on
tag contents)[2021-12-03]

PDF没有

元素，因此无法搜索它们。虽然URL地址暗示您的示例文件是PDF，但如果查看其源代码，您可以看到它只是一个纯HTML文件。 PDF's don't have

elements, so there's no way to search for them. Although the URL address implies your example file is a PDF, if you look at its source code, you can see that it' ...

jqueryUI自动完成 - 无论搜索结果如何，始终附加选项(jqueryUI autocomplete - always append an option regardless of search results)[2022-10-08]

这是您缺少的方法，您只需要访问ui.content属性。 response: function( event, ui ) { //console.log(ui.content); ui.content.unshift({value:"Add new account", label:"Add new account"}); } 这是工作的例子。 $( function() { var availableTags = [ "ActionScript", ...

如何使用twitter search api获得结果？(How to get results with twitter search api?)[2022-08-08]

twitter API的第1版已被弃用，正在删除。不确定如何错过twitter开发站点上的巨大警告;）这意味着像上面这样简单的代码将不再起作用。因此，您现在需要使用1.1 API进行经过身份验证的请求（OAuth），并且它就像在（使用PHP） file_get_contents(http://search.twitter.com/ ...)那样简单。我在你的个人资料中看不到你使用的任何服务器端语言，但我写了一篇冗长的帖子解释了这个问题（图片）以及如何使用php库来执行经过身份验证的请求。 Ve ...

Spring MVC和Thymeleaf防止实体Id泄漏(Spring MVC and Thymeleaf Prevent Entity Id Leak)

最满意答案

相关问答

检索Google搜索结果(retrieving Google search results)[2023-05-04]

MySQL标签搜索(MySQL tag search)[2023-05-17]

如何将搜索结果附加到div标签，然后在下一次搜索时覆盖内容？(How can I append search results to a div tag and then overwrite the contents on the next search?)[2019-12-10]

搜索div(Search into divs)[2022-08-05]

将JSON值附加到搜索结果div(Appending JSON values to search results div)[2023-11-05]

搜索html中的内容(Search the contents in the html)[2023-07-05]

AngularJS预先搜索结果为div(AngularJS typeahead search results in a div)[2023-05-28]

根据
标签内容搜索pdf页面(Search pdf page based on
tag contents)[2021-12-03]

jqueryUI自动完成 - 无论搜索结果如何，始终附加选项(jqueryUI autocomplete - always append an option regardless of search results)[2022-10-08]

如何使用twitter search api获得结果？(How to get results with twitter search api?)[2022-08-08]

相关文章

最新问答

Spring MVC和Thymeleaf防止实体Id泄漏(Spring MVC and Thymeleaf Prevent Entity Id Leak)

最满意答案

相关问答

检索Google搜索结果(retrieving Google search results)[2023-05-04]

MySQL标签搜索(MySQL tag search)[2023-05-17]

如何将搜索结果附加到div标签，然后在下一次搜索时覆盖内容？(How can I append search results to a div tag and then overwrite the contents on the next search?)[2019-12-10]

搜索div(Search into divs)[2022-08-05]

将JSON值附加到搜索结果div(Appending JSON values to search results div)[2023-11-05]

搜索html中的内容(Search the contents in the html)[2023-07-05]

AngularJS预先搜索结果为div(AngularJS typeahead search results in a div)[2023-05-28]

根据标签内容搜索pdf页面(Search pdf page based on tag contents)[2021-12-03]

jqueryUI自动完成 - 无论搜索结果如何，始终附加选项(jqueryUI autocomplete - always append an option regardless of search results)[2022-10-08]

如何使用twitter search api获得结果？(How to get results with twitter search api?)[2022-08-08]

相关文章

最新问答

根据
标签内容搜索pdf页面(Search pdf page based on
tag contents)[2021-12-03]