继续创造，加速成长！这是我参与「日新计划 6 月更文挑战」的第8天，点击查看活动概况。

这是我新开的专栏《JS真好玩》，将教你用JS完成一些有趣的东西。JS能够直接在浏览器运转，能够很便利的跟我学惯用JS做好玩儿https认证的工作。我发现尽管阅读量不高，但专栏重视份额比我其它专栏高，看来仍是有人很喜爱这个系接口和抽象类的区别列的，感谢咱们重视～文章求赞噢！祝咱们提前变成接口类型一名「前端极客」！

页面功用

关于「专栏」的概念

众所周前端和后端的区别知，里有「专栏」，比方我有这些专栏：HullQin的专栏 – 。咱们点开这个链https和http的区别接，展后端框架现了我所有的专栏：

你能够点击「+ 重视」按钮，看看会产生什么？

没错，点击后，假如你已登陆，那么按钮就变成了「已重视」，表明你重视了我的专栏，我要对你说一声：“听我说，谢前端开发需要学什么谢你，因为有你……接口英文”。

「专栏」的特点

作者翻开自己的专栏列表和专栏后端概况，没有「接口文档+ 重视前端和后端」按钮。不信？你自己创建一个专栏试试。

比方我翻开我的专http://www.baidu.com栏列表，「+ 重视」按钮的位置变成了菜单「…」按钮，并不能重视我自己的专栏，展现如图：

的前端交互，表现了的产品诉求：作者不能重视自己的专栏。

Bug描绘

我突发奇想，前端仅仅没有把「重视专栏」这个入口给作者展现前端出来，后端是否有做这个校验逻辑（作者不能重视自己的专栏）呢？

验证方法也很简单。使用咱们之前文章讲过的类似「重放攻击」的做法：《遇到表格，手动翻页太费事？我教你写脚本，一页展现所有数据》，我在https和http的区别文中提到：

Chrome最便利的后端开发工程师一点是，能够直接Copy as fetch，点击后，就能够复制这个恳求的fetch版本，做「重放攻击」也太便利啦，Chrome的交心功用真是太刑啦！

咱们仍后端需要学什么是翻开这个网页HullQin的专栏 – ，重视一下任意专栏，经过浏览器的开发者工具Network（网络）面板，找到对应的「重视专栏」的恳求，复制一下，得到：前端

fetch("https://api./interact_api/v1/follow/do?aid=改成你的aid&uuid=改成你的uuid", {
  "headers": { "content-type": "application/json" },
  "referrer": "https:///",
  "referrerPolicy": "strict-origin-when-cross-origin",
  "body": "{"id":"7087844977169924109","type":24}",
  "method": "POST",
  "mode": "cors",
  "credentials": "include"
});

然后，把body参数里的id改成自己的专栏ihttp://192.168.1.1登录d前端和后端哪个工资高。

自己专栏id怎么看？在这里：接口英文/column/7106…，专栏的概况页，网址中的拿那串https和http的区别数字就是专栏ID。

改好参数，依照上述文章教的，在Consol前端是什么工作e中，执行这个fetch函数，会发现：服务器回来https认证success，没后端需要学什么有报错！再点开专栏概况，发现粉https认证丝中添加了自己！

也就是说，的前端开发者前端和后端的确依照产品诉求完成了该功用：作者不能重视自己的专栏。但是后端开发者针对「重视专栏」这个API并https认证没有做校验。

经过调用API，作者仍是能够https协议重视自己的专栏，然后给自己的专栏添加1个粉丝！

复盘

缝隙修正

（假如产品承认逻辑是：作者不可重视自己的专栏，）后续接口类型有至少3件工作要做：

1. 后端逻辑修正。重视专栏API添加校验。
2. 脏数据处理。针对现网数据，扫描作者重视了自己专栏的，从专栏的粉前端是什么工作丝中删除去作者。尤其是HullQin这位作者，给自己3个专栏别后端离加了一个粉丝（狗后端需要学什么头）。
3. 添加测验用例。掩盖这种状况，防止再次遇到问题。

(假如产品承认逻辑是：允许作者经过API重视自己的专栏，不允许经过界面操作重视，)后续就什么都不用做啦，这不是什么严重的bug。（毕竟作者也是能够给自己的文章点赞的，重视前端是什么工作下自己专栏没什么缺点）

如何不二过

这是一个典型的系统缝后端开发隙：产品功用只在前端做校验、而没有在后端做校验。这是咱们在做产品的时分需要防止的。如https和http的区别何防止呢？多方后端框架人员需要http://192.168.1.1登录共同努力：

1. 产品同学要把产品需求描绘清楚，同步给前端+后端+测验同学。尤其是需求产生变更时，也要及时同步给所有人，哪怕看起来仅仅一个前端小功用。
2. 前端同学做好前端校验，假如前端具备校验条件，要确保前端不会发出不合法恳求。
3. 后端同学做好后端校验，确保即使有不合法恳求，也能拦截掉。
4. 测验同学在测验时，不https和http的区别仅要从前端作为用户来测验，也要重视后端接口逻辑正确性和安全性。

写在最终

我前端和后端是HullQin，独立开发了联机桌游合集，是个网页，能够很便利的跟前端工程师朋友联机玩斗地主、五子棋、UNO等游戏，绝不收费，绝无广告，点这就能开端玩。喜爱能后端语言够重视我噢～我有空了会共享做游戏的相关技能，会在这2个专栏里共享：《教你做前端开发需要掌握什么技术小游戏》、《极致用户体验》接口卡。