Przechowywanie danych dla żądania POST w href - złe praktyki?

Question

Piszę aplikację node.js i jestem nieco zaniepokojony tym, jak buduję dane postów, które można wysłać na serwer. Na przykład, kiedy chcę, aby usunąć element danych, kładę identyfikator wspomnianego elementu w atrybucie href:

<a class='delete' href="1231">Delete this data</a> 
<!-- href is based on a variable I'm pulling from the server --> 

Kiedy linkujące kliknięciu zapobiec akcje domyślne, a następnie uruchomić ajax request:

//On click + ajax 
body.on('click', '.delete', function(e){ 
e.preventDefault(); 
    $.ajax({ 
     type: 'POST', 
     url: '/admin/report/detail/delete', 
    data: {id: $(this).attr('href')}, 
    success: function(){ 
     //Success message 
    }, 
    error: function(){ 
     //Error message 
    } 
}); 
}); 

Zastanawiam się, czy nie jest tak źle używać atrybutu href w ten sposób? Jeśli tak, jaki jest najlepszy sposób przechowywania tych danych?

Answer 1

Zamiast tego użyj atrybutów danych. Przechowywanie ich w href nie jest semantyczne, a co jeśli chcesz czasami przechowywać identyfikatory, a inne dane w innym czasie? Możesz utworzyć dowolną liczbę atrybutów danych, nadając im nazwy semantyczne.

<a class="delete" data-id="1231" href="#"> 

Następnie w javascript:

... 
data: { id: $(this).data('id') } 
... 

LUB

data: { id: $(this).attr('data-id') } 

Answer 2

Szczerze mówiąc, jesteś zawsze będzie musiał wysłać identyfikator rekordu mają zostać usunięte do serwer jednak to robisz. Nawet jeśli robisz atrybuty danych, to nie jest problem tutaj, to wysyłasz dane "przez przewód" przez AJAX, aby ludzie mogli zobaczyć identyfikator.

Musisz pomyśleć - ok, ten identyfikator może zostać zmieniony, jakkolwiek bystry jesteś z nim, ludzie znajdą sposób, aby go zmienić i potencjalnie usunąć różne identyfikatory klientów ... więc ... zawsze upewnij się, że przeprowadzasz odpowiednie testy bezpieczeństwa strona serwera czyli czy aktualnie zalogowany użytkownik może usunąć ID użytkownika, który jest wysyłany?