关键信息总结 漏洞描述 在 项目中,存在一个关于从浏览器发起删除请求的安全问题。在之前的实现中,通过 中间件来阻止来自浏览器的 请求,但还存在以下问题: DELETE请求未被有效阻止,从而允许浏览器发起删除操作(如删除任务或关闭应用程序)。 修复措施 当前提交 实现如下修复: 1. 从黑名单到白名单:将黑名单控制限制方法(只允许 方法)切换为白名单控制,确保仅允许来自浏览器的明确安全方法。 2. 覆盖额外方法:这样还涵盖 等其他可能的方法和任何将来的HTTP方法。 3. 白名单定义:明确定义哪些API路径允许来自浏览器的请求(如 ),提高安全性。 具体代码更改 更改涉及以下文件: 相关问题 关联问题#1234被修复,与#1234相关。 签名作者为sampan-s-nayak和sampan。 安全性测试 所有测试均已通过,包括对取消作业请求的测试,证明来自浏览器的DELETE请求被阻止并返回405响应。