|
|
1
1
我认为对于登录失败返回准确的403错误代码更合适。 至于你的问题,模糊什么文件实际上存在的一般“安全通过模糊”(Buzzwords)被认为是一个非常差的安全模型,如果用户无论如何都不能访问这些URL,那么知道这些URL对用户没有好处(如果他们破坏了访问控制,我想有一个相当简单的方法来找到UR我去档案室)。 但是,如果混淆文件名很重要,我建议未经身份验证的用户返回文件夹中的任何文件(无论是否存在)的403(本质上,您拒绝他们访问文件夹中的内容,因此错误代码对我来说似乎是合法的)。我可能会建议通过一个CustomErrors处理程序来实现这一点,该处理程序在决定要告诉您多少信息(这样,对于通过身份验证的人,您仍然会保持准确的404错误)之前区分您是否登录,或者通过一个httpmodule捕获404引发的异常,并为通过身份验证的人与未通过身份验证的人呈现不同的结果。指定用户。 |
|
|
Michael · 某些Windows客户端上的命名管道安全问题 2 年前 |
|
|
adamency · 是否可以从Go二进制文件的源代码中检索字符串? 2 年前 |
|
|
AlboSimo · PayPal Api密钥安全 2 年前 |