不知道算不算“漏洞”。今天修改后台时才有此感觉。
CSDN 的首页中,有一些区域的内容是包含的静态 HTML 文件,这些文件可以在后台管理中修改(用的简单的 textarea 直接改代码)。目前,这些对首页所显示的内容的修改,属于“Cool 话题管理”的范畴中。
然而我发现这个功能没有第二次身份验证,即,如果登录了后台,则任何人都可以修改首页内容。而诸如文档管理,广告管理等部分,还有第二次身份验证,根据当前用户的 CSDN 账户来判断是否有操作权限。
我认为这可能会出现一些问题。所以,现在正在修改,对 Cool 话题增加二次验证。
In progress...