个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
好的,可能最好在这里举例说明我的意思。
想象一个基于 Web 的论坛系统,其中用户身份验证是通过系统知道的某种外部方法完成的。
现在,例如,用户输入他们无权访问的线程的 URL。为此,我应该返回 403(禁止),让用户知道他们应该尝试另一种身份验证方法或 404,而不是让他们知道有什么可以访问。
假设我返回 403,当他们访问尚不存在的主题的 URL 时,我是否也应该返回 403?
编辑:上面的例子更像是一个 IRL 的例子。
另一个例子,说我暴露了类似的东西
/adminnotes/user
最佳答案
最重要的是,符合 HTTP 规范。 返回 403 代替 404 不是一件好事。返回 404 代替 403 可能没问题(或者不是一个大错误),但我只是 让软件说实话 .如果用户只知道一个主题的 ID,那也没什么。并且他可以尝试定时攻击来确定这个话题是否存在。
关于security - 返回 "correct"错误码,还是保护隐私?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/147747/
26
4
0
我读了 Douglas Crockford 所著的《JavaScript:The Good Parts》一书以及许多其他资源,但我对在 Javascript 中实现继承和隐私有(private)点困惑
假设我有两个包: with Ada.Streams; use Ada.Streams; package P is type SEA is new Stream_Element_Array (1.
我正在使用此代码在youtube上上传视频。 - (void)sendVideoFileMetadata:(NSDictionary *)videoMetadata
我开发了基于位置的应用程序,它能够获取用户的位置,但其中有一些奇怪的事情。在设置->隐私->位置服务下,它没有显示我的应用程序。对于它所展示的其他设备,只有 iPhone 6 Plus 才会出现这种情
我已经在我的 iOS 项目中添加了一个 sqlite 数据库,我希望它是私有(private)的,我不希望任何用户看到里面的内容。但是一旦创建了 .ipa 文件,如果我将其扩展名更改为 .zip 并查
我不确定这个标题是否合适。 让我描述一下我的想法。 我不熟悉 facebook API。 你看,我在网站上有这个页面。我希望这个页面只对我在 Facebook 上的 friend 可见。有什么办法可以
我正在使用 phonegap 制作应用程序,当用户不允许某个权限(例如 GPS)时,应用程序下次使用该功能时不会再次询问,我认为我能做的最好只是显示这样的消息: 请转至 iOS 设置 > 隐私 > 定
我是 iPhone 开发人员和 CFUUID 概念的新手,所以我想在开始实现它之前我应该问一下。所以 CFUUID 返回的字符串是否真的是唯一的,或者是否可以追溯到唯一的个体。意思是,我生成一个
我正在做一个项目,客户提出了一些有趣的要求。想知道是否有人有任何建议或想权衡。 我正在为我的客户创建一个 Web 应用程序,以便在公司内部分发给少数人。他们需要能够从世界任何地方访问 Web 应用程序
我正在使用 ggplot 和 plotly 绘制图表。如何在 plotly 上将 plotly 设为私有(private)而不是公开?我的代码如下所示: a <- ggplot(data, aes(v
修改我的Caddyfile在此平台上尝试推荐后...我仍然无法获得 我浏览器中的HTTPS连接。Chrome一直在说 “Your connection is not private Attackers
下面的代码不能再工作了,我们能做什么 [[UIApplication sharedApplication] openURL:[NSURL URLWithString: @"prefs:root=LOC
在应用程序 Info.plist 文件中设置 Privacy - Location Default Accuracy Reduced 然后调用 locationManager.requestWhenI
我正在开发需要从“系统偏好设置”>“安全和隐私”>“隐私”>“辅助功能”启用的应用程序。 现在,我正在使用以下代码打开下面屏幕截图中显示的窗口: -(IBAction)enableAccessibil
总的来说,我非常努力尊重模块的隐私(如果变量以下划线为前缀,我不会使用它)。然而,我有一个极端的情况,它看起来相当“安全”。 这是演示 ( my previous question ) parser=
我正在使用适用于 Android 的 Facebook SDK 3 在我的墙上分享状态。我授权我的所有 friend 都可以看到该发布,该帖子发布得很好,但即使有隐私,也没有人能看到它:公共(publ
在我的应用程序中,我直接获取联系信息购买这样做... ABAddressBookRef m_addressbook = ABAddressBookCreate(); CFArrayRef allPeo
是否有任何可能的方法来跟踪 Chrome 扩展程序从网站发出的网络通信? 假设 Chrome“内容脚本”扩展程序将 AJAX 查询发送到指定 IP 上的服务器以创建自定义分析。当用户浏览各种网站时,此
有件事一直困扰着我,就像人们意识到了我没有意识到的事情一样。我正在看一个 FOSS 示例(下面进行了简化)...每当我有一个 JavaScript 类时,我更喜欢 Crockford 的变量隐藏方法:
如果 locationServicesEnabled 返回 false,我会提示用户启用他们的定位服务。以下 URL 适用于 10.0+,将用户重定向到“设置”应用并直接转到“定位服务”屏幕: URL
我是一名优秀的程序员,十分优秀!