短信验证码绕过

后台给前台返回短信验证验证失败的报文,被人拦截替换成是成功的报文,成功跳转,要怎么处理

解决方案 »

  1.   

    应该还是后台问题,后台校验失败,应该记录下这个验证session状态,对每个接口请求都做授权校验,就不存在这个问题。加密不是彻底解决办法。
      

  2.   

    后台给前台返回短信验证验证失败的报文,被人拦截替换成是成功的报文,成功跳转,要怎么处理首先 数据交互这块的加密 可以考虑 RAS:https://blog.csdn.net/fsh_walwal/article/details/81063871特殊且重要的接口,应该前端和后台都需要校验,不能只让前端根据返回的数据来进行路由跳转,这样的话你接口跟透明的没啥区别了一次校验:前端根据后台返回的状态来进行路由跳转二次校验:拦截器中检验状态
      

  3.   


    /a这个路由下的接口要求用户登录/b这个路由下的接口要求用户校验短信 /c这样路由下的接口要求用户参数加密这样的话,就算前端的路由被绕过了,也一样无法调用你的接口
      

  4.   

    不是,前后端分离,前端校验我的报文,然后确定是否跳转,我的成功报文都是一样的你没有传给他验证成功后的token  他跳转页面请求数据变不给你穿正确的token你就把他踢出去就行啊
      

  5.   

    后台请求都没有拦截器的吗,加个权限验证,token什么的,token错误就请求不了接口,这样就算他进去也没有什么意义
      

  6.   

    验证成功后,返回一个token给前端,并且把这个token缓存起来。前端每一个请求都需要带上这个token,后台验证就完事儿了。
    token的生成规则你自己定。
      

  7.   

    用的是Servlet吗?
      

  8.   

    springboot前后端分离
      

  9.   

    跳转链接后加token,服务器随机生成,用后失效
      

  10.   

    1.后台校验验证码(具体步骤:后端生成验证码时存入session,校验时从session中获取)。
    2.前后端交互报文需通过RSA加密。
      

  11.   

    额~或许你可以跟据m月y日第n次登录,找到单调函数f:
    后台报文成功时,发送f(m,y,n)给前端。
    前端可以计算f(m,y,n)并与之校对。
    对上后,前端修改单调函数f为单调函数g,并发送内容请求通知(加载内容)。
    后台的单调函数f修改为单调函数g,返回请求的内容。
      

  12.   

    后台收到验证请求后,如果验证码正确。生成一个具有时效的token(jwt就可以)
    前端收到这个token后,把这个token作为参数进行跳转。跳转的目的action对token进行验证,验证失败就给他返回个空页面