query action 泄露数据的问题

lch_245298

/baas/myprogram/user/queryTb_user

在浏览器里边直接输入 service.m 发布出来的action
直接把数据库表里的数据显示出来了

这个有好的处理办法么

doudou459

对呀！   所以就只能自己查询和保存的后台！   我一般不用baasdata   只用data   然后自己用ajax发送请求，自己写查询、保存后台

liangyongfei

baas Server 返回的数据格式就是一个json 数据！ 浏览器当然可以显示出来
对应data组件存储数据格式
http://doc.wex5.com/?p=4932

qq475742653

自己修改一下开源库
  com.justep.baas.action.CRUD.query(JSONObject, ActionContext)
在里面加东西，想要多安全都能做出来。

qq475742653

如果不是敏感数据，就不用额外去处理。

liangyongfei

qq475742653 发表于 2019-5-14 10:26
如果不是敏感数据，就不用额外去处理。

敏感数据，最好是有用户登录。验证用户是否有权限查询敏感数据
前端去取数据，返回值肯定是能得到这个数据的

你只能保证  当前查询的人，查询的数据是有权限的，才能控制主

如果安全性要求比较高，建议使用BeX5 吧！

qq475742653

liangyongfei 发表于 2019-5-14 10:36
敏感数据，最好是有用户登录。验证用户是否有权限查询敏感数据
前端去取数据，返回值肯定是能得到这个数 ...

wex5也能添加session的。修改 com.justep.baas.servlet.BaasServlet.execService(HttpServletRequest, HttpServletResponse) 监听器就行了。根本不用bex5

我前段时间才用wex5做了一个项目，通过公司的安全部门测试。

qq475742653

捕获baas的action路径，判断一下哪些action 不需要session 的就直接跳过，需要session验证的，就验证一下session.成功后，才执行asction.
可以很灵活地处理登录前不授权、登录后的授权。
使用 平台的  Engine.execAction(URI, params); 方法，可以在执行某个action前，调用其他action 进行先验证。避免SQL注入、操作权限、数据权限等控制