uni-app JQL字段修改权限的安全漏洞-已解决
uni-app JQL字段修改权限的安全漏洞-已解决
操作步骤:
- 配置字段的permission: write:false,在unicloud-db组件里面,调用
this.$refs.udb.update(id,{})修改该字段
预期结果:
- 没有修改权限
实际结果:
- 正常修改,绕过schema权限配置。
bug描述:
- 在schema.json里面,配置字段的permission: write:false,不能使用
unicloud.database().collection('db').update修改该字段。 - 但是,却可以在unicloud-db组件里面,调用
this.$refs.udb.update(id,{})来修改该字段,默认绕过了schema的权限设置,这应该会有很大的安全隐患。
更多关于uni-app JQL字段修改权限的安全漏洞-已解决的实战教程也可以访问 https://www.itying.com/category-93-b0.html
2 回复
另外,使用unicloud-db组件,修改完会提醒“[system] 请注意 showLoading 与 hideLoading 必须配对使用”,看不到组件源代码,应该是内部没有配置好。
更多关于uni-app JQL字段修改权限的安全漏洞-已解决的实战教程也可以访问 https://www.itying.com/category-93-b0.html
