首页   注册   登录
 yamedie 最近的时间轴更新
今天偶然看 v 友的 blog 发现一个很棒的网站 一言: https://hitokoto.cn/

『 树大必有枯枝,人多必有白痴。 』 - 「谢谢你!坏运」
161 天前
遇到低能优越伸手党? 今天开眼界了...
161 天前
ONLINE

yamedie

V2EX 第 149918 号会员,加入于 2015-12-04 09:09:02 +08:00
今日活跃度排名 825
写了一个聊天室,给任意网站加入尬聊功能
分享创造  •  yamedie  •  7 小时 6 分钟前  •  最后回复来自 chinvo
15
有人频繁试探云主机的 ip_js. PHP 是什么操作?
云计算  •  yamedie  •  37 天前  •  最后回复来自 Oceanhime
14
备案个域名需要这么和谐吗?
Chamber  •  yamedie  •  86 天前  •  最后回复来自 ChenXuting
1
关于 ipv4 地址枯竭的问题
问与答  •  yamedie  •  120 天前  •  最后回复来自 ThirdFlame
18
支付宝到账语音生成器
分享创造  •  yamedie  •  122 天前  •  最后回复来自 yamedie
24
小猪佩奇表情包
分享创造  •  yamedie  •  136 天前  •  最后回复来自 zhouyg
13
迫于下班无聊,做了个炉石卡牌生成器网页
分享创造  •  yamedie  •  150 天前  •  最后回复来自 crs0910
18
我用新买的良心云,搭了个简易的 futureme
分享创造  •  yamedie  •  70 天前  •  最后回复来自 yamedie
33
玩对春联吧,谁来对个下联?
  •  1   
    分享发现  •  yamedie  •  184 天前  •  最后回复来自 ferencz
    2
    yamedie 最近回复了
    7 小时 10 分钟前
    回复了 yamedie 创建的主题 分享创造 写了一个聊天室,给任意网站加入尬聊功能
    @batnss 在改名字, 重启了一下服务..
    8 小时 6 分钟前
    回复了 yamedie 创建的主题 分享创造 写了一个聊天室,给任意网站加入尬聊功能
    @LongLights ^_^

    @SukkaW 不要上 CSP, 一起造作呀 ^_^
    @adidala 哈哈原来如此,那你也是 666,大大降低了查询操作的复杂度
    @yamedie 我知道了.. 可能是爬友商的
    牛!! 想知道海量的商品价格是怎么获取的? 一个个爬?
    @xitu 感谢! my@topurl.cn
    行, 我败了, 我是前端小白, 我认同 83 楼的结论.
    @binux 不是冒充 token, 而是没有进行 token 与入参的比对和鉴权(判断 token 的主人和入参的 userId 是不是同一个人), 这个问题我跟后端提过多次, 现在新接手的人愿意去改掉了.

    我为了规避这个问题不捅娄子, 我还想方设法在 spa 里不暴露 userId, 至少让它在浏览器里不被篡改, 现在想想是很多余的, 这些越权的漏洞应该后端来解决, 无奈之前的 java 太懒不想改, 后台 leader 也不想管.
    @xycool 不瞒你说我司真的是前端算 signature 的, 但同时所有请求也用了 OAuth 的 token, 两种鉴权方式一起用.
    但我们的 java 没做到自己信息只有自己能查, 只要 token 和签名正确了, 也能冒充其他用户身份,只要篡改一下用户 id 就行了,所以我觉得我们的 java 不行,没做到 74 楼说的用户只能访问自己数据(可能接口安全他们只差一步而已).
    所以我觉得,只要哪天微信 webapp 的浏览器限制被人破解了,我们这个破系统分分钟完蛋,因为后端虽然鉴权了,但根本没法防止用户在客户端篡改伪造身份.
    @chinvo 我来解释为什么用 dev 版不好? 因为前端代码没经过任何混淆就暴露在外, model 层数据整理的明明白白供你调试, 比那些 jQuery 开发的项目还容易让人搞懂业务逻辑. 假设前端调 ajax 还经过了前后台共同约定的 seed 做了参数加密签名(sha1 那些非对称加密), 你的签名加密方式也暴露的明明白白, 别人掌握了伪造接口签名, 就能用个 postman 轻松修理你们后端
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   实用小工具   ·   862 人在线   最高记录 3762   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 16ms · UTC 23:41 · PVG 07:41 · LAX 16:41 · JFK 19:41
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1