POST 中的表单正文以 URL 参数结尾?
Form body in a POST ending up as URL params?
我们的堆栈:
- Vue.js 前端使用 vuetify 组件库
- 自定义 python 中间件 rest api 使用 flask + tornado
- matomo 运行 在外部使用 vues 连接到前端
插件系统。(https://github.com/AmazingDreams/vue-matomo)
我们最近将 matamo 添加到我们的站点,我们很少注意到数千名用户中的 4 起事件,其中通过 POST 请求提交给我们的中间件的 username/password 正在结束以 https://somesite.com?username=someUser&password=somePassword 身份登录 matomo。
奇怪的是,实际的登录路径是在某个站点上。com/login 所以它奇怪的 matamo 在主页上看到了它。
这是我们用于登录用户的代码:
auth.js
const authenicateUser = async (username, password) => {
const body = { username: username, password: password }
const headers = new Headers()
headers.append('Content-Type', 'application/json')
headers.append('Accept', 'application/json')
try {
const response = await fetch('https://somesite.com/users/login', {
method: 'POST',
...(body ? { body: JSON.stringify(body) } : {}),
cache: 'no-store',
credentials: 'include', // this is to allow cross origin requests to our middleware microservice
headers: headers
})
return response
} catch (error) {
return false
}
}
登录表单
<v-form @submit.prevent="submit" @keyup.native.enter="submit" id="check-login-form">
<v-text-field
class="input-field"
label="MS ID"
v-model="username"
name="username"
data-cy="userName"
prepend-icon="mdi-account"
type="text"
color="rgb(232, 119, 34)"
/>
<div class="password-field">
<v-text-field
class="input-field"
id="password"
data-cy="userPassword"
label="Password"
v-model="password"
name="password"
prepend-icon="mdi-lock"
:type="showPassword ? 'text' : 'password'"
@click:append="showPassword = !showPassword"
color="rgb(232, 119, 34)"
></v-text-field>
<div v-if="showPassword" class="icon-container" v-on:click="toggleShowPassword">
<img src="~assets/Icons/View.svg" class="eye-icon" />
</div>
<div v-else class="icon-container" v-on:click="toggleShowPassword">
<img src="~assets/Icons/ViewHide.svg" class="eye-icon" />
</div>
</div>
</v-form>
提交方式
async submit() {
this.isLoading = true
const response = await authenticateUser(this.username, this.password)
this.statusCode = response.status
this.currentStatusCode = this.statusCode
if (this.statusCode === 200) {
this.currentStatusCode = this.statusCode
this.$router.push('/')
this.isLoading = false
this.$matomo.setUserId(this.username)
} else {
this.isLoading = false
this.currentStatusCode = null
this.showPassword = false
}
},
toggleShowPassword: function() {
this.showPassword = !this.showPassword
}
},
关于为什么会发生这种情况有什么想法吗?
我们最终通过将 method="POST"
属性添加到 <v-form>
来解决这个问题。结果在极少数情况下,表单会尝试以 GET 方式提交,这导致表单参数以 URL 作为 URL 参数结束。
<v-form
method="POST"
enctype="text/plain"
@submit.prevent="submit"
@keyup.native.enter="submit"
id="check-login-form"
>...</v-form>
我们的堆栈:
- Vue.js 前端使用 vuetify 组件库
- 自定义 python 中间件 rest api 使用 flask + tornado
- matomo 运行 在外部使用 vues 连接到前端 插件系统。(https://github.com/AmazingDreams/vue-matomo)
我们最近将 matamo 添加到我们的站点,我们很少注意到数千名用户中的 4 起事件,其中通过 POST 请求提交给我们的中间件的 username/password 正在结束以 https://somesite.com?username=someUser&password=somePassword 身份登录 matomo。
奇怪的是,实际的登录路径是在某个站点上。com/login 所以它奇怪的 matamo 在主页上看到了它。
这是我们用于登录用户的代码:
auth.js
const authenicateUser = async (username, password) => {
const body = { username: username, password: password }
const headers = new Headers()
headers.append('Content-Type', 'application/json')
headers.append('Accept', 'application/json')
try {
const response = await fetch('https://somesite.com/users/login', {
method: 'POST',
...(body ? { body: JSON.stringify(body) } : {}),
cache: 'no-store',
credentials: 'include', // this is to allow cross origin requests to our middleware microservice
headers: headers
})
return response
} catch (error) {
return false
}
}
登录表单
<v-form @submit.prevent="submit" @keyup.native.enter="submit" id="check-login-form">
<v-text-field
class="input-field"
label="MS ID"
v-model="username"
name="username"
data-cy="userName"
prepend-icon="mdi-account"
type="text"
color="rgb(232, 119, 34)"
/>
<div class="password-field">
<v-text-field
class="input-field"
id="password"
data-cy="userPassword"
label="Password"
v-model="password"
name="password"
prepend-icon="mdi-lock"
:type="showPassword ? 'text' : 'password'"
@click:append="showPassword = !showPassword"
color="rgb(232, 119, 34)"
></v-text-field>
<div v-if="showPassword" class="icon-container" v-on:click="toggleShowPassword">
<img src="~assets/Icons/View.svg" class="eye-icon" />
</div>
<div v-else class="icon-container" v-on:click="toggleShowPassword">
<img src="~assets/Icons/ViewHide.svg" class="eye-icon" />
</div>
</div>
</v-form>
提交方式
async submit() {
this.isLoading = true
const response = await authenticateUser(this.username, this.password)
this.statusCode = response.status
this.currentStatusCode = this.statusCode
if (this.statusCode === 200) {
this.currentStatusCode = this.statusCode
this.$router.push('/')
this.isLoading = false
this.$matomo.setUserId(this.username)
} else {
this.isLoading = false
this.currentStatusCode = null
this.showPassword = false
}
},
toggleShowPassword: function() {
this.showPassword = !this.showPassword
}
},
关于为什么会发生这种情况有什么想法吗?
我们最终通过将 method="POST"
属性添加到 <v-form>
来解决这个问题。结果在极少数情况下,表单会尝试以 GET 方式提交,这导致表单参数以 URL 作为 URL 参数结束。
<v-form
method="POST"
enctype="text/plain"
@submit.prevent="submit"
@keyup.native.enter="submit"
id="check-login-form"
>...</v-form>