checkWhiteListUrl安全问题
来源:9-3 集成 Swagger2 实现代码即文档(下)
andy0503
2021-08-09
老师好:
checkWhiteListUrl校验白名单问题是否有安全风险,如果在URL后面任意的拼接一些参数或者接口本身包含V2等这些字符串,那岂不是不用校验token全都能放过去?
生产环境swagger应该是关闭的,所以应该不会存在安全风险。不知道我的理解是否正确。
写回答
1回答
-
张勤一
2021-08-09
同学你好:
你这个问题提的是非常好的,所以,我们在课程里面验证的是 URL,需要去掉参数部分;另外,你也可以做更进一步的校验,保证你当前的 URL 不会越界。
10
相似问题