申請(qǐng)公眾平臺(tái)開發(fā)者模式需要填寫一個(gè)URL和一個(gè)Token

       如果這個(gè)URL和Token被別人猜中了, 并且你不判斷消息中的ToUserName屬性是否跟你微信號(hào)相配, 那么別人的公眾帳號(hào)申請(qǐng)開發(fā)者時(shí)填寫你的URL和你的Token, 別人的公眾帳號(hào)就能把你公眾帳號(hào)的功能盜用了。

       URL

       你的微信號(hào)有時(shí)會(huì)要求用戶綁定一些信息, 一般都是一個(gè)HTML5的網(wǎng)頁(yè), 這條微信內(nèi)容其實(shí)就是一段HTML. 問(wèn)題是復(fù)制這條消息到其它文本框中, HTML是暴露的, 你的URL會(huì)暴露出來(lái), 所以別人可以輕而易舉的拿到鏈接地址。

       關(guān)鍵是不要讓別人根據(jù)你的鏈接猜到你申請(qǐng)開發(fā)者時(shí)填寫的URL。

       Signature

       在群里經(jīng)常聽別人說(shuō)圖省事, 直接把echostr返回, 根本沒顧忌這樣做所帶來(lái)的后果. 如果別人知道了你的URL, 隨便填一個(gè)Token, 他就順利驗(yàn)證成功了。

       Token

       Token建議使用隨機(jī)字符串, 以下格式的Token都是相對(duì)不安全的:

       123

       123456

       abc

       微信號(hào)

       微信號(hào)123等等。

       如果不巧, 上面兩點(diǎn)你都沒有注意, 別人可能就會(huì)得逞。

       ToUserName

       有人說(shuō)你不是知道了我的URL和Token, 我改一下Token你不就沒用了么. 關(guān)鍵問(wèn)題是別人之前用你的URL和Token驗(yàn)證成功了, 微信一旦認(rèn)為你成功了, 以后還會(huì)再次驗(yàn)證這個(gè)URL和Token么? 所以微信每條消息返回的ToUserName屬性不是沒用的, 你的程序應(yīng)該判斷是否跟你的微信號(hào)相配。

       如果你的URL和Token暴露了, 又沒有判斷ToUserName, 那么你的益達(dá)就真的是別人的益達(dá)了。

實(shí)搜網(wǎng)絡(luò)為您提供網(wǎng)絡(luò)推廣，網(wǎng)絡(luò)營(yíng)銷，網(wǎng)站建設(shè)，SEO優(yōu)化，微信開發(fā)，網(wǎng)站托管等服務(wù)，服務(wù)熱線：0311-66697360