81,122
社区成员
发帖
与我相关
我的任务
分享微信公众号开发 ajax请求路径暴漏 如何防止恶意请求
用户经过认证后,进入论坛页面,用户只能删除自己的帖子,删除操作是ajax异步处理,现在可以通过浏览器直接调用ajax请求路径,进行删除操作。请问有没有好的思路,防止这种现象。
等待大牛的赐教,给个思路就好。
等待大牛的赐教,给个思路就好。
...全文
请发表友善的回复…
发表回复
tgshsl 2016-06-01
- 打赏
- 举报
通过浏览器直接访问ajax地址,一般是get模式提交。只要把请求响应改成post模式,对于get模式的访问可以忽略。
悲鸣秋 2016-05-04
- 打赏
- 举报
删除操作前 判断这个帖子是不是 登录用户的
执笔记忆的空白 2016-05-04
- 打赏
- 举报
用户授权登录,不是该用户的无法删除。每次执行添删改操作之前,进行权限验证
「已注销」 2016-05-04
- 打赏
- 举报
感谢大家的回复,目前解决方案如下:
每次oauth2认证后,将微信open_id放入session中,(类似咱传统系统的登录操作),
删除的时候判断是否存在session,存在的话判断帖子的发帖人是不是当前操作用户。
再次感谢大家的回复。
程序猿VS攻城狮 2016-05-03
- 打赏
- 举报
应该有做微信授权登录吧,有授权的话,每个用户微信分配了一个唯一的openid。openid要和你系统的用户体系绑定到一起,一旦删除操作执行,后台就要判断,执行删除操作的openid是否与该帖子的发布者的用户信息陪配,是的话再执行删除
hvaexlove 2016-05-03
- 打赏
- 举报
没做过微信公众号开发
我想应该在服务端接受请求的时候判断一下是否登录就可以了吧
苍穹仰望者 2016-05-03
- 打赏
- 举报
删除自己的操作,那前提是登录状态,一般微信有个openid和你的用户一对一关联,微信登录其实就是识别下这个id。不知道你是希望只能在微信上操作,还是说浏览器上登录状态也可以操作。要不你识别下请求的浏览器类型+登录状态来识别,用微信操作浏览器类型是可以识别的。
