1.跳转链接中有一部分参数是用户可操作的数据,
步骤就是用户填写数据ID,查看详情有个链接跳转动作,链接里把这段id直接拼上去了,且填写id没有做字符限制,如果填写带/\的链接作为ID,会导致页面重定向跳转到填写的链接页面。
后续临时修复措施:
采取前后台校验:/\这类字符不能填写作为ID。
感觉业务设计之初就应该有限制:
1.对ID的填写字符有规范限制
2.链接参数中不能拼用户可操作的数据
1.跳转链接中有一部分参数是用户可操作的数据,
步骤就是用户填写数据ID,查看详情有个链接跳转动作,链接里把这段id直接拼上去了,且填写id没有做字符限制,如果填写带/\的链接作为ID,会导致页面重定向跳转到填写的链接页面。
后续临时修复措施:
采取前后台校验:/\这类字符不能填写作为ID。
感觉业务设计之初就应该有限制:
1.对ID的填写字符有规范限制
2.链接参数中不能拼用户可操作的数据