【安全问题】文件URL中带token信息,打开文件等于登录账号
场景:1、员工1发起流程时上传了图片
2、领导审批时打开了图片链接,觉得有问题,就转发给员工(此时这个URL中带上了XTOKEN)
如:
/x_processplatform_assemble_surface/jaxrs/attachment/download/9efbc82a-5f97-4b8a-a69e-f3c68fc82b79/workcompleted/8a60cd22-de96-4287-8bac-547214ce6794?x-token=imNDjpxA-gxe3yG_3fiV-hd8ejhq8dSLvETR....
3、员工用浏览器打开图片后,再打开O2OA,就以领导的身份登录了,可以查看、审批、发起领导的所有流程
存在安全风险,望能及时修复
多谢反馈,这个问题我们先排查一下. 我们确认了这个问题,在使用钉钉浏览器时为了保证在"新浏览器中打开"的功能,通过url附带了token信息,由于涉及部分应用功能,目前还没有具体的针对方案.
页:
[1]