5.2.7版本中在JavaScript中处理DocUrl 中有缺陷的逻辑

jishuang

相关人员不在，稍候处理

007slm

linxin@msn.com 发表于 2014-10-17 18:34
你最好非常认真的问问你们资深的程序员，我做了二十年的程序了， 并且我之前也为你们提供过多次缺陷报告。
...

这里的逻辑是这样的
    平台支持的附件url 是有规范的 ，支持2种
   第一种 ： 直连模式（浏览器 直接和文档服务器通讯） 考虑到安全性和 直连有跨域等部署复杂度（跨域需要在tomcat中配置crossdomain.xml）等问题 一般用户难以理解，所以渐渐不推荐使用，除非有对速度特别敏感的用户才会使用
  第二种：ui转调模式，所有请求通过uiserver 转调才到docserver ，这样docserve 不对外，安全是首要考虑因素，同时url 是后台算好的加密url 返回的 所以在ui转调的情况下只有2中情况 一种是 返回# 标识权限不够，一种是 ui转调的url ，url中是规范好的（具体逻辑规范看相关java代码）所以  url中 http是一定有的，所以这里 不是滑稽是程序上约定好的 一定有，整个设计就基于这个设计才开始写代码的  所以 这里是一种约定的逻辑，不明显 但是是强约定，违反预定程序我们认为是被非法攻击 或者是代码有问题导致。
再说说 urlencoding的问题   在office 2003中插入域（图片域）的时候如果编码 %3c的情况 office不认识同时我们的url中没有中文 ，所以并没有编码，这样并不违反w3c规范 同时能过office ，只是不太符合大多数情况对url一定编码的保险写法。

理解了以上设计 在看u.indexOf(window.location.protocol) <1 就很好理解 了 就是 不是 直连（直连 是-1） 不是# 就是ui转调模式 发现没有http开头 加之。

linxin@msn.com

我理解是不是这样：
按照 UI 调转模式。  如果 UI 和 BIZ 之间 是 http 协议。UI 和浏览器之间是  https  的话。 这个逻辑是否能支持了呢？ 答案我理解应该是否定的。
如果是上面的情况。  恐怕只有强制写成  u.indexOf("host=http:")  < 1 才能正确了。
总之，这个代码设计有取巧的嫌疑（完全依赖内容项） 。 这样一个策略逻辑完全应该用一个API 封装。
    操作时完整区分判别 “直连” 还是“间连”的情况。


目前把这个规范(u.indexOf(window.location.protocol) <1 // 1 是一个 Magic Number )发散开来用， 大家理解都会有问题 。

007slm

linxin@msn.com 发表于 2014-10-21 14:33
我理解是不是这样：
按照 UI 调转模式。  如果 UI 和 BIZ 之间 是 http 协议。UI 和浏览器之间是  https   ...

这是2中思路，约定优先还是配置优先的问题，你的思路可以考虑。