缺陷类型:URL重定向
缺陷说明:如果允许未验证的输入控制重定向机制所使用的URL,可能有利于攻击者发动钓鱼攻击
传播途径:【来源】获取内容process.env;【爆发点】执行赋值操作,赋值给location.href
if (code === 401) {
if (!isRelogin.show) {
isRelogin.show = true;
MessageBox.confirm('登录状态已过期,您可以继续留在该页面,或者重新登录', '系统提示', {
confirmButtonText: '重新登录',
cancelButtonText: '取消',
type: 'warning'
}).then(() => {
isRelogin.show = false;
store.dispatch('LogOut').then(() => {
location.href = process.env.VUE_APP_CONTEXT_PATH + "index";
})
}).catch(() => {
isRelogin.show = false;
});
}
return Promise.reject('无效的会话,或者会话已过期,请重新登录。')
}
解决方案:
location.href = process.env.VUE_APP_CONTEXT_PATH + "index";
更改为location.reload();