gpt4 book ai didi

security - 返回 "correct"错误码,还是保护隐私?

转载 作者:行者123 更新时间:2023-12-01 07:09:12 27 4
gpt4 key购买 nike

好的,可能最好在这里举例说明我的意思。

想象一个基于 Web 的论坛系统,其中用户身份验证是通过系统知道的某种外部方法完成的。

现在,例如,用户输入他们无权访问的线程的 URL。为此,我应该返回 403(禁止),让用户知道他们应该尝试另一种身份验证方法或 404,而不是让他们知道有什么可以访问。

假设我返回 403,当他们访问尚不存在的主题的 URL 时,我是否也应该返回 403?

编辑:上面的例子更像是一个 IRL 的例子。

另一个例子,说我暴露了类似的东西

/adminnotes/user

如果有关于用户的管理员注释。现在,返回 403 会让用户知道有人在谈论他们。 404 不会说什么。

但是,如果我要返回 403 - 我可以将它返回给 adminnotes/* - 这将解决该问题。

编辑 2:另一个例子。这里的软删除问题返回 404。但是,通过正确的身份验证和访问,您仍然可以看到它们(我认为)

最佳答案

最重要的是,符合 HTTP 规范。 返回 403 代替 404 不是一件好事。返回 404 代替 403 可能没问题(或者不是一个大错误),但我只是 让软件说实话 .如果用户只知道一个主题的 ID,那也没什么。并且他可以尝试定时攻击来确定这个话题是否存在。

关于security - 返回 "correct"错误码,还是保护隐私?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/147747/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com