[JS真好玩] 我帮掘金找到了一个小Bug,可利用该Bug增加专栏粉丝数

继续创造,加速成长!这是我参与「日新计划 6 月更文挑战」的第8天,点击查看活动概况。

这是我新开的专栏《JS真好玩》,将教你用JS完成一些有趣的东西。JS能够直接在浏览器运转,能够很便利的跟我学惯用JS做好玩儿https认证的工作。我发现尽管阅读量不高,但专栏重视份额比我其它专栏高,看来仍是有人很喜爱这个系接口和抽象类的区别列的,感谢咱们重视~文章求赞噢!祝咱们提前变成接口类型一名「前端极客」!

页面功用

关于「专栏」的概念

众所周前端和后端的区别知,里有「专栏」,比方我有这些专栏:HullQin的专栏 – 。咱们点开这个链https和http的区别接,展后端框架现了我所有的专栏:

后端工程师g添加专栏粉丝数” alt=”[JS真好玩] 我帮掘金找到了一个小Bug,可利用该Bug添加专栏粉丝数” src=”https://www.6hu.cc/wp-content/uploads/2022/07/c33a7e7cc87a9b307575201868f4b163.png”>

你能够点击「+ 重视」按钮,看看会产生什么?

没错,点击后,假如你已登陆,那么按钮就变成了「已重视」,表明你重视了我的专栏,我要对你说一声:“听我说,谢前端开发需要学什么谢你,因为有你……接口英文”。

「专栏」的特点

作者翻开自己的专栏列表和专栏后端概况,没有「接口文档+ 重视前端和后端」按钮。不信?你自己创建一个专栏试试。

比方我翻开我的专http://www.baidu.com栏列表,「+ 重视」按钮的位置变成了菜单「」按钮,并不能重视我自己的专栏,展现如图:

后端加专栏粉丝数” alt=”[JS真好玩] 我帮掘金找到了一个小Bug,可利用该Bug添加专栏粉丝数” src=”https://www.6hu.cc/wp-前端学什么content/uploads后端语言/2022/07/72586141c5895f9822095ad652732c20.png”>

的前端交互,表现了的产品诉求:作者不能重视自己的专栏。

Bug描绘

我突发奇想,前端仅仅没有把「重视专栏」这个入口给作者展现前端出来,后端是否有做这个校验逻辑(作者不能重视自己的专栏)呢?

验证方法也很简单。使用咱们之前文章讲过的类似「重放攻击」的做法:《遇到表格,手动翻页太费事?我教你写脚本,一页展现所有数据》,我在https和http的区别文中提到:

Chrome最便利的后端开发工程师一点是,能够直接Copy as fetch,点击后,就能够复制这个恳求的fetch版本,做「重放攻击」也太便利啦,Chrome的交心功用真是太刑啦!

咱们仍后端需要学什么是翻开这个网页HullQin的专栏 – ,重视一下任意专栏,经过浏览器的开发者工具Network(网络)面板,找到对应的「重视专栏」的恳求,复制一下,得到:前端

fetch("https://api.juejin.cn/interact_api/v1/follow/do?aid=改成你的aid&uuid=改成你的uuid", {
  "headers": { "content-type": "application/json" },
  "referrer": "https://juejin.cn/",
  "referrerPolicy": "strict-origin-when-cross-origin",
  "body": "{"id":"7087844977169924109","type":24}",
  "method": "POST",
  "mode": "cors",
  "credentials": "include"
});

然后,把body参数里的id改成自己的专栏ihttp://192.168.1.1登录d前端和后端哪个工资高

自己专栏id怎么看?在这里:接口英文juejin.cn/column/7106…,专栏的概况页,网址中的拿那串https和http的区别数字就是专栏ID。

改好参数,依照上述文章教的,在Consol前端是什么工作e中,执行这个fetch函数,会发现:服务器回来https认证success,没后端需要学什么有报错!再点开专栏概况,发现粉https认证丝中添加了自己!

也就是说,的前端开发者前端和后端的确依照产品诉求完成了该功用:作者不能重视自己的专栏。但是后端开发者针对「重视专栏」这个API并https认证没有做校验。

经过调用API,作者仍是能够https协议重视自己的专栏,然后给自己的专栏添加1个粉丝!

复盘

缝隙修正

(假如产品承认逻辑是:作者不可重视自己的专栏,)后续接口类型有至少3件工作要做:

  1. 后端逻辑修正。重视专栏API添加校验。
  2. 脏数据处理。针对现网数据,扫描作者重视了自己专栏的,从专栏的粉前端是什么工作丝中删除去作者。尤其是HullQin这位作者,给自己3个专栏别后端离加了一个粉丝(狗后端需要学什么头)。
  3. 添加测验用例。掩盖这种状况,防止再次遇到问题。

(假如产品承认逻辑是:允许作者经过API重视自己的专栏,不允许经过界面操作重视,)后续就什么都不用做啦,这不是什么严重的bug。(毕竟作者也是能够给自己的文章点赞的,重视前端是什么工作下自己专栏没什么缺点)

如何不二过

这是一个典型的系统缝后端开发隙:产品功用只在前端做校验、而没有在后端做校验。这是咱们在做产品的时分需要防止的。如https和http的区别何防止呢?多方后端框架人员需要http://192.168.1.1登录共同努力:

  1. 产品同学要把产品需求描绘清楚,同步给前端+后端+测验同学。尤其是需求产生变更时,也要及时同步给所有人,哪怕看起来仅仅一个前端小功用。
  2. 前端同学做好前端校验,假如前端具备校验条件,要确保前端不会发出不合法恳求。
  3. 后端同学做好后端校验,确保即使有不合法恳求,也能拦截掉。
  4. 测验同学在测验时,不https和http的区别仅要从前端作为用户来测验,也要重视后端接口逻辑正确性和安全性。

写在最终

前端和后端是HullQin,独立开发了联机桌游合集,是个网页,能够很便利的跟前端工程师朋友联机玩斗地主、五子棋、UNO等游戏,绝不收费,绝无广告,点这就能开端玩。喜爱能后端语言够重视我噢~我有空了会共享做游戏的相关技能,会在这2个专栏里共享:《教你做前端开发需要掌握什么技术小游戏》、《极致用户体验》接口卡

发表评论

提供最优质的资源集合

立即查看 了解详情