wx.request接口单一参数请求,是否有遍历风险?
发布于 5 年前 作者 pinglu 3404 次浏览 来自 官方Issues

如图所示,小程序端通过wx.loging()获取code之后,通过wx.request()将code发送给后台,

这里我们的安全同事认为code是单一参数,存在遍历的风险

请问一下微信端生成的code,这里是否存在遍历,蒙出一个正确的code,从而实现越权的情况?

2 回复

code5分钟有效,code为32个字符,不大可能试出来,code生成也会和appid有关的,认为

不大可能,应该有时效性和其他的一些保障

回到顶部