社区
Web 开发
帖子详情
微信公众号开发 ajax请求路径暴漏 如何防止恶意请求
nizhenfeng
2016-05-03 03:10:56
用户经过认证后,进入论坛页面,用户只能删除自己的帖子,删除操作是ajax异步处理,现在可以通过浏览器直接调用ajax请求路径,进行删除操作。请问有没有好的思路,防止这种现象。
等待大牛的赐教,给个思路就好。
...全文
250
7
打赏
收藏
微信公众号开发 ajax请求路径暴漏 如何防止恶意请求
用户经过认证后,进入论坛页面,用户只能删除自己的帖子,删除操作是ajax异步处理,现在可以通过浏览器直接调用ajax请求路径,进行删除操作。请问有没有好的思路,防止这种现象。 等待大牛的赐教,给个思路就好。
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
7 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
tgshsl
2016-06-01
打赏
举报
回复
通过浏览器直接访问ajax地址,一般是get模式提交。只要把请求响应改成post模式,对于get模式的访问可以忽略。
悲鸣秋
2016-05-04
打赏
举报
回复
删除操作前 判断这个帖子是不是 登录用户的
执笔记忆的空白
2016-05-04
打赏
举报
回复
用户授权登录,不是该用户的无法删除。每次执行添删改操作之前,进行权限验证
「已注销」
2016-05-04
打赏
举报
回复
感谢大家的回复,目前解决方案如下: 每次oauth2认证后,将微信open_id放入session中,(类似咱传统系统的登录操作), 删除的时候判断是否存在session,存在的话判断帖子的发帖人是不是当前操作用户。 再次感谢大家的回复。
程序猿VS攻城狮
2016-05-03
打赏
举报
回复
应该有做微信授权登录吧,有授权的话,每个用户微信分配了一个唯一的openid。openid要和你系统的用户体系绑定到一起,一旦删除操作执行,后台就要判断,执行删除操作的openid是否与该帖子的发布者的用户信息陪配,是的话再执行删除
hvaexlove
2016-05-03
打赏
举报
回复
没做过微信公众号开发 我想应该在服务端接受请求的时候判断一下是否登录就可以了吧
苍穹仰望者
2016-05-03
打赏
举报
回复
删除自己的操作,那前提是登录状态,一般微信有个openid和你的用户一对一关联,微信登录其实就是识别下这个id。不知道你是希望只能在微信上操作,还是说浏览器上登录状态也可以操作。要不你识别下请求的浏览器类型+登录状态来识别,用微信操作浏览器类型是可以识别的。
微信公众号
支付对接支付宝支付完整教程付实战代码
根据支付宝和微信的规范,返回正确的...当涉及到
微信公众号
支付的对接时,以下是一个使用PHP编写的完整教程,以实现与支付宝支付的对接。在你的PHP项目中,配置微信支付的相关参数,包括
微信公众号
的AppID和AppSecret。
微信公众号
分享自定义标题、内容、图片 + php后台封装签名signature生成函数
因为要做网页的微信分享,分享的时候想自定义 分享标题 分享摘要 和分享缩略图,所以要用到
微信公众号
的jssdk,必然就牵扯到微信签名。 以thinkphp5为例,展示整个生成和使用的过程。 步骤: 1、获取微信access_...
微信用户与第三方网站用户的绑定策略(实现用户第一次登陆后永久免登陆)
原先公众号的登录注册由于session的频繁...我接着以openId为key将用户的登录状态保存到redis数据库中,但是按照之前项目的设计,只有从公众号菜单栏点击进来的链接才能获取到openId,对于非菜单栏的链接,是获取不...
Nodejs搭建前后端分离
开发
模式下的微信网页项目
原文链接:《Nodejs搭建前后端分离
开发
模式下的微信网页项目》- 陈帅华 本文涉及对前后端分离及微信网页项目中的前端如何在本地环境中...对于上面第一个关于如何配置
微信公众号
平台
开发
环境的介绍在帅华君之前的几...
网络安全测评
教程列表见
微信公众号
底部菜单 进微信群回复公众号:微信群;QQ群:16004488
微信公众号
:计算机与网络安全 ID:Computer-network 本文介绍常用的安全测评工具,分别以Web安全测评和移动支付及互联网金融安全测评为...
Web 开发
81,092
社区成员
341,716
社区内容
发帖
与我相关
我的任务
Web 开发
Java Web 开发
复制链接
扫一扫
分享
社区描述
Java Web 开发
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章