Aby zabezpieczyć aplikację WWW przed manipulacją ciągiem zapytań, rozważałem dodanie parametru zapytania do każdego adresu URL, który przechowuje skrót SHA1 wszystkich innych parametrów i wartości ciągu zapytania, a następnie weryfikuje wartość skrótu na każdym żądaniu.

Czy ta metoda zapewnia silną ochronę przed manipulowaniem wartościami ciągów zapytań przez użytkownika? Czy są w tym jakieś inne wady / skutki uboczne?

Nie martwię się szczególnie o „brzydkie” adresy URL tej prywatnej aplikacji internetowej. Adres URL nadal będzie „bookmarkable”, ponieważ skrót będzie zawsze taki sam dla tych samych argumentów ciągu zapytania.

To jest aplikacja ASP.NET.