Marukoko您好:
這類型不一定有安全疑慮,要看程式撰寫人員的寫法。
目前社交網站常見的弱點,是「功能未做使用者身份檢查」,導致只要攻擊者將此logout的網址惡意張貼,使用者點擊到就會登出。
比較好的做法是外加一組會變動的檢查碼,只有使用者自己瀏覽點選才會生效,而不是像這樣單純只有網址。
其他風險方面,因為此類網址只是單純進行功能操作,並無資料庫等運作,因此其餘風險較低。
但主要還是要看程式撰寫人員的寫法。
謝謝!
marukoko wrote:
請教講師:
一般在網路上常見的網址列
ooooooooxxx.com?logout=1
這種方法是否有什麼潛在的安全問題?