いまやっていること
自分が作っているWEBサービスでフォロー機能を追加しようと思っています。
他のユーザーをフォローするために、そのユーザーのID(ULID)を
<input type="hidden" name="user_id" value="(フォローしたいユーザーのID)">
のようにしてフォームでPOSTしようと思っています。
しかし、これだとHTMLのソースコードを見ればvalueの部分のユーザーIDが分かってしまうと思います。
ちなみにユーザーのログインなど、他のサイト内の操作にはこのユーザーIDは一切使いません。
ユーザーIDをWEBサービス側の要求で直接ユーザーが入力する場面はないです。
確認したいこと
他のユーザーのIDが分かるとどういった具体的にセキュリティ上のリスクがあるのか、もしくは特に問題ないのか。
質問あれば答えます
かなり説明を端折ったので、他に解決のために知りたいことがあれば質問していただければお答えします。
0 コメント