1.仅适用小程序内防御
可利用微信小程序wx.login方法获取一个code, 同业务流程相结合作为一个参数提交至服务器,服务器验证code的真实性和时效,隔绝伪装请求,达到防御的目的
wx.login({
success (res) {
if (res.code) {
//发起网络请求
} else {
console.log('登录失败!' + res.errMsg)
}
}
})
防御接口的参数 code 参数
payload = {
other,
'code': '001qfi0w3n37HV2tMg3w3bKMV02qfi0X' // res.code
}
服务端请求微信api URL,验证code的有效性 ,结合自己的业务代码,利用微信的机制做一次简单攻防;
url = "'https://api.weixin.qq.com/sns/jscode2session',"
网友评论