ajax請求跳轉無效的解決方案及其安全隱患

標籤：返回   成功   一個   應該   學生   效果   col   span   內容   

有時候，網站在登入時需要根據使用者的類型（許可權）進行不同頁面的跳轉。

利用ajax請求可以避免頁面的頻繁跳轉，有效改善使用者體驗。

ajax請求主要的代碼：

Regex驗證：

如果在後端經過一系列的驗證，成功登入後，以重新導向的方式跳轉如：response.sendRedirect("/easyPartTimeJob/view/html/student.html")，此時頁面並不會跳轉到頁面，但是響應已經到達頁面：

 

原因：（摘錄於網路）

ajax只是利用指令碼訪問對應url擷取資料而已，不能做除了擷取返回資料以外的其它動作了。所以瀏覽器端是不會發起重新導向的。
1）正常的http url請求，只有瀏覽器和伺服器兩個參與者。瀏覽器端發起一個http請求，伺服器端處理後發起一個重新導向，瀏覽器端從response中擷取到重新導向地址，發起另一個http url請求。也就是說，瀏覽器會按照response中的內容進行響應（如重新導向），這是瀏覽器的功能決定的就得響應。
2）Ajax請求，參與者就有三個即ajax、用戶端、伺服器，ajax處於用戶端和伺服器兩者之間。過程是用戶端發起一個ajax請求，伺服器端處理後，如果發起一個重新導向，然後ajax會怎麼辦呢？它只會擷取剛才請求返回的資料，其他的任何動作一概不去做，ajax是這麼做的（ajax功能就是這麼設定的，ajax架構原始碼也是這麼寫的）。
也就是說，引入了ajax之後，ajax就插在瀏覽器和伺服器之間了，伺服器給瀏覽器的response被ajax攔截了，但是ajax本身卻什麼都不做，也不轉達。

解決方案：（後端返回使用者標識，在瀏覽器完成跳轉）：

 

 這樣是可以達到想要的效果的，但是有安全隱患:

正常來說，伺服器返回如此的資料，瀏覽器根據該欄位進行跳轉

利用fiddler攔截響應

在響應到達瀏覽器前截獲回應標頭，修改該欄位為manager，然後允許存取響應。

結果本應該跳轉到學生首頁的跳轉到了管理員首頁。

所以登入時我仍然選擇表單進行登入，在密碼錯誤時做出提示：

 

或者依舊在瀏覽器跳轉，但是在每次操作前檢驗使用者的許可權（想想就煩(′?_?`)）

 說出你的解決方案！

ajax請求跳轉無效的解決方案及其安全隱患