【安全问题】文件URL中带token信息，打开文件等于登录账号

xuannan

场景：
1、员工1发起流程时上传了图片


2、领导审批时打开了图片链接，觉得有问题，就转发给员工（此时这个URL中带上了XTOKEN）
如：
/x_processplatform_assemble_surface/jaxrs/attachment/download/9efbc82a-5f97-4b8a-a69e-f3c68fc82b79/workcompleted/8a60cd22-de96-4287-8bac-547214ce6794?x-token=imNDjpxA-gxe3yG_3fiV-hd8ejhq8dSLvETR....

3、员工用浏览器打开图片后，再打开O2OA，就以领导的身份登录了，可以查看、审批、发起领导的所有流程
存在安全风险，望能及时修复

Ray

多谢反馈,这个问题我们先排查一下.

Ray

我们确认了这个问题,在使用钉钉浏览器时为了保证在"新浏览器中打开"的功能,通过url附带了token信息,由于涉及部分应用功能,目前还没有具体的针对方案.