社区
Web 开发
帖子详情
微信公众号开发 ajax请求路径暴漏 如何防止恶意请求
nizhenfeng
2016-05-03 03:10:56
用户经过认证后,进入论坛页面,用户只能删除自己的帖子,删除操作是ajax异步处理,现在可以通过浏览器直接调用ajax请求路径,进行删除操作。请问有没有好的思路,防止这种现象。
等待大牛的赐教,给个思路就好。
...全文
320
7
打赏
收藏
微信公众号开发 ajax请求路径暴漏 如何防止恶意请求
用户经过认证后,进入论坛页面,用户只能删除自己的帖子,删除操作是ajax异步处理,现在可以通过浏览器直接调用ajax请求路径,进行删除操作。请问有没有好的思路,防止这种现象。 等待大牛的赐教,给个思路就好。
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
7 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
tgshsl
2016-06-01
打赏
举报
回复
通过浏览器直接访问ajax地址,一般是get模式提交。只要把请求响应改成post模式,对于get模式的访问可以忽略。
悲鸣秋
2016-05-04
打赏
举报
回复
删除操作前 判断这个帖子是不是 登录用户的
执笔记忆的空白
2016-05-04
打赏
举报
回复
用户授权登录,不是该用户的无法删除。每次执行添删改操作之前,进行权限验证
「已注销」
2016-05-04
打赏
举报
回复
感谢大家的回复,目前解决方案如下: 每次oauth2认证后,将微信open_id放入session中,(类似咱传统系统的登录操作), 删除的时候判断是否存在session,存在的话判断帖子的发帖人是不是当前操作用户。 再次感谢大家的回复。
程序猿VS攻城狮
2016-05-03
打赏
举报
回复
应该有做微信授权登录吧,有授权的话,每个用户微信分配了一个唯一的openid。openid要和你系统的用户体系绑定到一起,一旦删除操作执行,后台就要判断,执行删除操作的openid是否与该帖子的发布者的用户信息陪配,是的话再执行删除
hvaexlove
2016-05-03
打赏
举报
回复
没做过微信公众号开发 我想应该在服务端接受请求的时候判断一下是否登录就可以了吧
苍穹仰望者
2016-05-03
打赏
举报
回复
删除自己的操作,那前提是登录状态,一般微信有个openid和你的用户一对一关联,微信登录其实就是识别下这个id。不知道你是希望只能在微信上操作,还是说浏览器上登录状态也可以操作。要不你识别下请求的浏览器类型+登录状态来识别,用微信操作浏览器类型是可以识别的。
Essential Addons插件漏洞,影响 60 万个 WordPress 网站
EssentialAddons for Elementor,一个广泛使用的WordPress插件,被发现存在严重RCE漏洞,允许未经验证的用户执行代码。
开发
者进行了两次修复尝试但未完全解决问题。在5.0.5版本中引入了PHP的`realpath`函数以
防止
恶意
路径
解析。目前仍有超过60万个站点未更新到安全版本,建议用户立即更新并采取预防措施。
用友crm客户关系管理
ajax
/uploadfile.php接口存在任意文件上传漏洞 附POC
微信公众号
搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发用友U8客户关系管理全面解决方案是基于中国企业最佳营销管理实践,更符合中国企业营销管理特点,客户关系管理的整合营销平台。产品融合数年来积累的知识、方法和经验,目标是帮助企业有效获取商机、提升营销能力。
js 获取cookie_PHP项目安全:PHP中的Cookie安全
本文介绍了如何通过启用HttpOnly、Secure选项和合理的Cookie设置来保护Web会话安全,
防止
Cookie被窃取和XSS/CSRF攻击。关键步骤包括设置HttpOnly属性、仅在HTTPS环境下发送Cookie和细致的Cookie域管理。
移动商城项目【总结】
本文总结了一个为期十天的移动商城项目实践经验,项目涉及SpringMVC、Spring、Mybatis等技术,并分享了从前端到后端的
开发
技巧及注意事项。
零基础入门漏洞挖掘:从攻击面分析到实战场景拆解
本文系统讲解漏洞挖掘的核心方法论,涵盖攻击面分析、威胁建模与偏离
开发
者预期的思维模式;深入拆解SQL注入、XSS和逻辑漏洞三大Web典型漏洞的手动探测与利用技巧;阐述信息收集(子域名枚举、技术栈识别、敏感文件探测、API分析)及漏洞链构造(信息泄露→XSS→权限提升)的实战
路径
;强调HTTP协议、浏览器
开发
者工具、Burp Suite等关键技术基础与合法测试前提。
Web 开发
81,111
社区成员
341,725
社区内容
发帖
与我相关
我的任务
Web 开发
Java Web 开发
复制链接
扫一扫
分享
社区描述
Java Web 开发
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章