Когда можно намеренно запутывать URL-адреса?

Имейте в виду, что запутывание URL-адресов НЕ является мерой безопасности. Вы никогда не должны доверять внешнему вводу — фильтруйте, дезинфицируйте и применяйте ограничительную логику. Независимо от того, насколько умной вы считаете свою схему обфускации, люди с относительной легкостью взломали гораздо более сложные схемы безопасности.

Как правило, нет веских причин намеренно запутывать URL-адреса. Используйте URL-адреса для передачи операций чтения (путь к ресурсу). Используйте запросы POST для передачи операций записи (добавление/изменение данных). Если предполагается, что пользователь не может что-то сделать через URL-адрес, это должно регулироваться на стороне сервера и через метод запроса.

Вы можете либо отправить данные POST, либо, если это невозможно, установить значение в переменной сеанса, а затем прочитать значение на странице успеха. Фактическая сложность кода с использованием сеанса примерно такая же, как и с использованием строки запроса.

Хорошо, если вы не думаете, что это проблема безопасности, поскольку вы просто отображаете другое сообщение, то почему вас волнует, можно ли его взломать или нет?

Большинство пользователей не заметят, что URL можно редактировать, так зачем запутывать? «Элитные хакеры» получат немного другое сообщение, большое дело.

Общий ответ на вопрос «Должен ли я запутать ...?» нет. Если это из соображений безопасности, черт возьми, нет, иначе зачем вы запутываетесь? Скорее всего, вы теряете время.

URL-адреса предназначены для уникальной ссылки на контент. Когда содержимое является результатом процесса, состоящего из нескольких шагов диалога, это содержимое не может иметь URL-адрес, поскольку URL-адрес не воспроизводит процесс.

Я бы перенаправил их в RegistrationSuccess.aspx и представил там содержимое в зависимости от состояния сеанса.

Если кто-то перейдет по этому URL-адресу без подходящего состояния сеанса, я перенаправлю его на главную страницу после 5 секунд просмотра дружественного сообщения, объясняющего, что там нечего смотреть.

Еще лучший выбор, возможно, состоит в том, чтобы перенаправить их на MyRegistration.aspx, который они, возможно, хотели бы сделать фаворитом. Исходя из процесса регистрации, в нем может быть поле, объясняющее, что они успешно зарегистрировались. Если они не приходят сюда из процесса регистрации, это поле не отображается. Остальная часть страницы представляет собой сводку всех предыдущих процессов регистрации для этого пользователя.

С отправкой поста?

Если вам не нужна информация в URL-адресе, не указывайте ее в URL-адресе.

Это не всегда легко сделать...

Я бы сказал, что страницы, которые вы хотите легко индексировать поисковыми системами, используют маршрутизацию URL. Это включает в себя страницы с высоким трафиком.

Для других страниц, которые пользователи будут посещать только несколько раз в месяц или год, вы можете оставить их как обычные URL-адреса.

Если вы обязательно должны использовать URL-адрес для личных/персональных данных, вам, вероятно, будет лучше сгенерировать случайный уникальный идентификатор на сервере и использовать его в своем URL-адресе. Вроде как подтверждение по электронной почте, где вы должны нажать на ссылку.

В противном случае, если есть какой-либо другой способ не включать данные в URL-адрес, вы не должны этого делать. В случае успешной регистрации либо человек только что зарегистрировался, а вы должны находиться в текущем сеансе, либо вы должны потребовать от него авторизации, прежде чем он увидит настроенную страницу.

Почему бы не сделать сообщение об успешной регистрации последним шагом, а не менять страницы?

Для этого можно использовать Ajax или Server.Transfer().

Я мог бы проверить из белого списка ссылающихся URL-адресов, чтобы они не могли просто ввести другой URL-адрес. Это могло бы исключить явный взлом со стороны прохожего.

(Очевидно, вы можете обойти это, если вы ботаник.)

Вы можете сделать какую-то контрольную сумму или хэш для элементов строки запроса, поэтому, если они возятся с URL-адресом, контрольная сумма не работает, и они выбрасываются на главную страницу.