這裡所說的web應用介面包含兩類介面:
為什麼說有這兩類介面呢? 原因很簡單:這兩類介面都對外暴露,無論是暴露給使用者還是其他**訪問者。
ui介面,自然不用說了,它通過瀏覽器暴露給使用者用於和系統進行人機互動,這種暴露一般也是ui介面存在原本的目的。而另外一種介面,web api介面原本是為了瀏覽器web邏輯進行正常的服務端資料訪問,但實際上,本系統使用者有可能通過修改輸入url的方式試圖直接訪問一些未授權的頁面或資料,另外還有一些惡意訪問者對這些介面發起一些不懷好意的請求。所以,對於所有這些請求,我們也要做相應的驗證和許可權檢查。
頁面跳轉按鈕/鏈結
頁面上許可權相關的資料展示區
資料列表展示
使用者對一些業務資料的可見性是受控的,比如當地業務負責人只能看到本地的業務資料,那麼上海的負責人看到北京地區的業務資料就是個錯誤。這個問題表面上看頁面資料展示問題,如果深入一點考慮到分頁過濾等因素,那麼在後端服務邏輯查詢相應資料的時候,就需要將使用者對業務資料的可見性考慮進去。
web功能測試要點總結
web功能測試一般關注的點主要可以分ui及易用性測試 表單測試 cookies測試 鏈結測試 相容性測試。ui及易用性測試 1 各個頁面的樣式風格是否美觀統一,如大小 顏色是否統一,頁面 文字 是否居中等。2 各個頁面的標題和描述是否正確,有無錯別字,字型大小 顏色是否正確統一,文字描述準確,無歧義...
WEB安全測試要點總結
一 大類檢查點 二 測試項詳細說明 上傳功能 註冊功能 登入功能 但很多cookie需要給前端js使用。所以這裡只需要關注關鍵cookie,即唯一標識使用者及登入狀態的會話標識需要新增這個屬性。驗證碼功能 忘記密碼功能 密碼安全性要求 橫向越權測試 不同使用者之間session共享,可以非法操作對方...
Java Web應用許可權控制
我自己的一點想法,希望對你的思路有所借鑑。有什麼意見和提議,可以發郵件和我交流 liujiansong gmail.com user 使用者定義表 id integer,auto increamtal,pk name varchar 80 not null other fields login id...