TODO：一些需要继续推进的进度

[imoyao]

看到一个别人写的博客，前端不错，有机会了解一下。或者持续改进？ https://frostming.com/2019/08-11/flask-blog

[imoyao]

参考项目：Fblog 源码

演示地址

备用demo

---

CB-ysx源码 演示

[imoyao]

编写系列文章介绍教程 https://stackabuse.com/single-page-apps-with-vue-js-and-flask-setting-up-vue-js/

[imoyao]

参考项目：Fblog 源码

演示地址

备用demo

CB-ysx源码 演示

上面的主要看i18n

[imoyao]

一个tornado写的渲染静态博客的项目： 谈谈这个博客程序 MiniAkio - I'm SErHo

[imoyao]

文档教程怎么写？Django搭建个人博客：前言 - 杜赛的博客

[imoyao]

一个异步的博客：LouisYZK/Frodo: python/fastapi + golang/gin + Vue + docker 基于异步技术栈的个人博客系统

[imoyao]

文档教程怎么写？Django搭建个人博客：前言 - 杜赛的博客

mkdocs/mkdocs: Project documentation with Markdown. Material for MkDocs - Material for MkDocs Insiders

[AlbertChanX]

发现一个越权漏洞，解决方案：authorId需根据article_id查询出来，因为前端的数据除了token，都不可信。

json_data = request.json
current_user_id = json_data.get('authorId')
if g.user.id != current_user_id:  # or  g.current_user.can(Permission.ADMINISTER):
    return forbidden('Insufficient permissions')

[imoyao]

发现一个越权漏洞，解决方案：authorId需根据article_id查询出来，因为前端的数据除了token，都不可信。

json_data = request.json
current_user_id = json_data.get('authorId')
if g.user.id != current_user_id:  # or  g.current_user.can(Permission.ADMINISTER):
    return forbidden('Insufficient permissions')

好的，暂时没有时间修复这个问题。 当时对token这方面的理解和认识还不够深，鉴权这一块有好几处应该都是有漏洞的。其实现在前端请求后端API都不是通过token来认证的。如果你有兴趣可以继续开发，欢迎PR.