TODO：一些需要继续推进的进度 - Githubissues

imoyao / idealyard

使用 Vue 和 Flask 搭建前后端分离的 RESTful 个人博客

BSD 2-Clause "Simplified" License

165 stars 30 forks source link

TODO：一些需要继续推进的进度 #9

Open imoyao opened 4 years ago

imoyao commented 4 years ago

看到一个别人写的博客，前端不错，有机会了解一下。或者持续改进？ https://frostming.com/2019/08-11/flask-blog

imoyao commented 4 years ago

参考项目：Fblog 源码

CB-ysx源码演示

imoyao commented 4 years ago

编写系列文章介绍教程 https://stackabuse.com/single-page-apps-with-vue-js-and-flask-setting-up-vue-js/

imoyao commented 4 years ago

参考项目：Fblog 源码

演示地址

备用demo

CB-ysx源码演示

上面的主要看i18n

imoyao commented 4 years ago

一个tornado写的渲染静态博客的项目：谈谈这个博客程序 MiniAkio - I'm SErHo

imoyao commented 4 years ago

文档教程怎么写？Django搭建个人博客：前言 - 杜赛的博客

imoyao commented 3 years ago

一个异步的博客：LouisYZK/Frodo: python/fastapi + golang/gin + Vue + docker 基于异步技术栈的个人博客系统

imoyao commented 3 years ago

文档教程怎么写？Django搭建个人博客：前言 - 杜赛的博客

mkdocs/mkdocs: Project documentation with Markdown. Material for MkDocs - Material for MkDocs Insiders

AlbertChanX commented 3 years ago

发现一个越权漏洞，解决方案：authorId需根据article_id查询出来，因为前端的数据除了token，都不可信。

json_data = request.json
current_user_id = json_data.get('authorId')
if g.user.id != current_user_id:  # or  g.current_user.can(Permission.ADMINISTER):
    return forbidden('Insufficient permissions')

imoyao commented 3 years ago

发现一个越权漏洞，解决方案：authorId需根据article_id查询出来，因为前端的数据除了token，都不可信。
json_data = request.json
current_user_id = json_data.get('authorId')
if g.user.id != current_user_id:  # or  g.current_user.can(Permission.ADMINISTER):
    return forbidden('Insufficient permissions')
好的，暂时没有时间修复这个问题。当时对token这方面的理解和认识还不够深，鉴权这一块有好几处应该都是有漏洞的。其实现在前端请求后端API都不是通过token来认证的。如果你有兴趣可以继续开发，欢迎PR.