由微信发布新功能带来的小程序生产BUG
~
一、背景
是这样的,前几天我在某小程序沟通交流的微信群里沟通个人如何做支付时,发了一张截图,来说明个人收费的话,只能通过个人激活码,线下完成付费,线下发送激活码来完成会员的开通等服务
当时很无心发了一张截图,也就是激活码生成界面的截图如下所示
1
1
1
1
刚开始,我并没有理解群里这位朋友的反馈,过了几天,我再复盘这个聊天,确实发现了问题
如下图所示
1
这个图片识别小程序码的功能是微信最近上新的一个功能,也就小程序的界面截图,在微信打开可以直接跳转到对应的小程序页面
因为我当时做这个功能的时候是通过入口控制的,如果存在权限,会展示这个入口,但是从入口进入之后就不做权限控制了,
正常情况下,这种逻辑不存在啥问题
但是我上面无心的一次截图把这个问题暴露出来了,这样拿到这个截图的用户,每次从截图进入小程序都会生成一个新的激活码
要知道这个激活码在市场上要99元一个,咸鱼上有的
所以这一波损失是真真切切存在的,今天我也主动对这个问题进行了修复,就是在进入激活码生成页 的时候也做了权限的校验,这样保证没有权限的用户即使扫码进入也没法生成正确的激活码
1
二、总结
微信上线的这个截图识别功能,确实有很大的使用场景,但是在平时小程序截图转发到群里的时候,就要三四了,如果不想别人知道你的小程序或者不想别人知道小程序的某个功能入口,那最好还是不要转发了
1
由一张答题活动小程序截图引入的线上生产BUG复盘
正常情况下,这种逻辑不存在啥问题。
-----------------------------------------------------
对文中这句话就很不认可,这逻辑就是有问题,做技术的把自己把控的技术风险交到别人手上去?别说是这么重要会直接导致资损的环节了,只要是对外用户公开的,我都会在服务端做校验(如果是内部使用会一些不重要的权限会省掉服务端校验)。以前刚开始后端开发时就听过一句话“永远不要相信前端传来的数据”。这个问题百分百开发人员背锅。
以前听过的什么网站被人花一分钱充值1w,就是这种想法造成的。因为使用你网站的不仅有正常用户,还有一堆想找你漏洞的技术人员/黑客/灰产人员。
严格来讲,确实是我逻辑上考虑的不够周全,后面已经及时打过补丁,如果不是管理员角色,跳转到该页面会被重定向到首页
谢谢楼上精彩分享