动弹

这个post 请求貌似可以 csrf 攻击，没有提交 token 校验的。

在OSC查看

0

评论 ( 1 )

• 
  FalconChen

  2019-07-11 16:06

  确实可以利用的，只要知道用户id，构造一条http链接，发给用户，比如通过私信，或者QQ微信。用户一点击会自动评论
  0