删除地址的横向越权问题
来源:10-2 收货地址增,删,改,查,分页列表,地址详情功能开发
骑着猪找未来
2018-04-02
这块有点不明白,删除方法里已经传了userId这个参数了,为什么在执行删除方法时,只传shippingId会有横向越权的问题呢?执行这个方法前不是已经有userId传进来做一个条件了吗
写回答
2回答
-
Geely
2018-04-05
你好,同学,这个是为了保证userid是这个用户的,如果删除的话,直接用shippingid,会操作其他用户的id,这里是为了防止手工传userid和shippingid。
00 -
polo哦
2018-04-02
收货地址只能是自己删自己的,而前端传过来的地址id有可能不一定是登录用户的,这时候才要用session里面的user传userid,确保是登录用户自己删自己的地址
00
相似问题