wx.request接口单一参数请求,是否有遍历风险? - WXOPEN Club | 微信小程序专业社区

如图所示,小程序端通过wx.loging()获取code之后,通过wx.request()将code发送给后台,

这里我们的安全同事认为code是单一参数,存在遍历的风险

请问一下微信端生成的code,这里是否存在遍历,蒙出一个正确的code,从而实现越权的情况?

hhan 1楼•5 年前

code5分钟有效，code为32个字符，不大可能试出来，code生成也会和appid有关的，认为

taogang 2楼•3 年前

不大可能，应该有时效性和其他的一些保障

回到顶部