测试中测到一个印象比较深刻的bug,问题出现在web端的电商平台,展示商品的时候每点击一个商品相应的url=~/productid.html,如果知道productid可以直接在url输入跳转到商品详情,相应的下单的时候会生成一个ordid,订单详情页url=~/ordid.html,于是随意更改了几个ordid试了试,发现可以浏览订单编号存在的别人的订单详情,没有做权限过滤故提交这个bug。
开发解决方案:在访问订单数据前获取登陆用户信息做权限处理。
‘