文中提到的应用模块因模板下载接口未经后端鉴权未通过安全准入测试。前端直接从CDN下载模板,但按照安准要求除登录注销外所有接口需鉴权。为解决此问题,新增了后端鉴权接口,提高了安全标准,避免未来类似问题发生。
应用中有一个模块没有通过安全准入测试,一看理由是接口未鉴权。通过查看发现该接口是下载模板接口。前端直接从cdn上下载模板文件,未经过后端鉴权。询问安准测试人员得知,页面上的接口,除了登入登出功能之外,其他的接口均需要鉴权。
随后我只能新增后台接口,返回模板下载文件,修复了这个安准问题,通过了安准测试。以后要提高安全意识,注意页面接口的鉴权,防止下一次某接口又重现安准问题。
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
