业务场景:如果app是明文请求,例如article?page=1&&page=10
一旦被别人劫持请求之后,那么攻击方可以修改参数,模拟你的请求page=2...page=3
这样的话,可以拿到你app的所有文章数据。
建议用AES数据请求加密,然后返回值加密。
java实现方案:
1:设计一个Filter,对请求参数解密
2:把请求参数,放到controller层的request的参数
3:设计一个Aspect切面,对app的请求数据加密。
这样的话,劫持请求的人,看到的请求参数与返回值都是密文。aes解密特别麻烦。