关于课程中的找回密码功能
来源:
Chiuuuuu
2017-01-07
在6-12找回密码(2)中,password_reset.html 文件里头 email 写成 hidden的input 并返回给用户,用户填写完新密码后直接修改对应email下的密码
这样是不是不安全??用户是不是可以修改post中的email数据并发送给服务端,然后造成非法修改其他用户的密码??
是不是应该在 ModifyView中的post方法中,把用户post回来的email 和 服务端发送给用户的 hidden email 比对一下就可以了??
写回答
1回答
-
能发现这个问题说明你还是经过认真思考的, 实际上为了简化原理我就这样做了, 你这种做法可以考虑, 但是比较安全的做法是将email+resetcode一起加密成一串加密文本, 然后服务器解密后获取到email然后再对restcode校验一下就可以了
032017-06-28
相似问题