Skip to content

服务端安全策略是否存在配置不当? #8

New issue
New issue
Open
Open
服务端安全策略是否存在配置不当?#8
@gxxk-dev

Description

@gxxk-dev
gxxk-dev
opened on Feb 27, 2026

站长终于上线了与MikuMod联动的云存档机制 这很好!

但我注意到了如下问题:

  1. CORS策略被配置为 基于前缀匹配(https://study.
  2. 身份验证这一块确实有效,但它仅依赖于JWT,缺乏CSRF保护
  3. 未校验Origin/Referer头
  4. MikuMod授权功能未校验callback/redirect字段
  5. MikuMod授权回调页面直接通过url传递token
  6. localStorage存储token
  7. token有效期过长
  8. 其它客户端边界条件没作处理之类的(懒得写了ww)

我个人感觉挺危险的ww 希望能尽快修复吧(

Metadata

Metadata

Assignees

No one assigned

    Labels

    No labels
    No labels

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions