涉及权限处:cookie,url和post处id类名,功能点,文件名都可能存在越权漏洞
安全编码规范: 1、从可信存储获取账号信息:账号信息应从可信来源获取,如Session、JWT Token或OAuth Token,避免从不可信的请求参数、Cookie中直接提取用户身份信息 2、使用不可推测的标识符:避免使用容易预测的标识符(如自增ID),使用不可推测的标识符(如UUID、随机字符串)来防止越权访问 3、最小权限原则:每个用户或进程应仅拥有其完成任务所需的最小权限,避免授予不必要的权限或过多的权限