你们根本没有校验jsapi_ticket!也没校验调用微信js接口的url!
我用空的jsapi_ticket及与实际页面地址不符的url进行签名,在用签名后的信息调用config接口注册我要使用的js接口,是可以成功的,我注册使用的接口包括调起支付。 所以,复杂的获取jsapi_ticket流程的意义何在?
https://developers.weixin.qq.com/doc/offiaccount/OA_Web_Apps/JS-SDK.html