个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
28
4
我很熟悉这个逻辑,如果你想用用户名和密码验证某人的身份,你应该返回相同的错误,无论是找不到用户名,还是密码错误。这个想法是,如果您返回单独的“找不到用户”和“找到用户,但密码错误”错误,攻击者可以尝试所有用户名并找出哪些用户名有效,然后仅将他们的字典攻击集中在这些用户名上.
通过 REST 服务,我有一个只有特定用户可以访问的资源,我们称它为 /foo/{id}。于是就有了各种情况:
用户尝试访问 /foo/4 并且他们有访问权限,他们显然得到了 200 响应和资源。
用户尝试访问 /foo/3 但它不存在。 (我不知道如果它确实存在他们是否可以访问它,因为它不存在。想想 Facebook 上不存在的照片,照片只有在存在时才有所有权信息。)
用户尝试访问 /foo/4,它存在,但他们没有访问权限。
所以我的问题是,在情况 2 和情况 3 中返回什么返回码?据我所知,有以下选项:
情况 2 返回 404,情况 3 返回 403。但这意味着攻击者可以找出存在哪些对象,类似于第一个示例中的密码示例。
所有例子都返回404,毕竟从用户的角度来看,他们无权访问的资源“不存在”,如果他们列出他们有权访问该资源的所有资源不会在列表中。
对所有示例返回 403。
你会怎么做?这里的标准是什么?
最佳答案
What is the standard here?
An origin server that wishes to "hide" the current existence of a forbidden target resource MAY instead respond with a status code of 404 (Not Found).
有趣的是,在 HTTP/1.0 中, 这是转过来的
If the server does not wish to make this information available to the client, the status code 403 (forbidden) can be used instead.
你应该知道 403 和 404 有 different default caching behavior .
When reviewing error responses be careful that a malicious user is not able to glean any potentially sensitive information about the system from the status code returned. For example: an API search that takes a tenant ID parameter and returns an HTTP 404 response for no results, and an HTTP 500 response if the tenant ID does not exist. An attacker could potentially leverage this information to determine if a tenant ID is valid or not. One solution would be to catch the exception thrown when a supplied tenant ID does not exist, and return an HTTP 404 status code with the error response.
请注意,状态代码并不是响应中唯一可以被利用的部分;如果您要完成对齐状态代码的工作,您还应该确保消息正文和 header 也不会泄露任何内容,即 the timing of the response不会泄露节目,等等。
关于rest - 对于不存在的REST资源,什么时候返回404,什么时候返回403?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45409035/
28
4
0
有人告诉我,如果我只有一个“东西”,比如家(不是多个家),我应该在 routes.rb 中使用资源 :home,而不是资源 :home。但是当我查看路由时,POST 函数似乎想要 home#creat
Activity 开始。这些代码框架顺利通过。 // Initialize array adapters. One for already paired devices and //
资源 search-hadoop.com search-hadoop.com索引所有邮件列表,非常适合历史搜索。当你遇到问题时首先在这里搜索,因为很可能有人已经遇到了你的问题。 邮件列表 在A
我是 WPF 的新手,正在努力使用位于单独程序集中的样式。这就是我正在做的:- 我有一个带有\Themes 文件夹的类库项目,其中包含一个“generic.xaml”,它合并了\Themes 内的子文
我正在编写一个使用虚拟树状文件结构的插件。基本上它就像一个包含文件的标准文件系统,区别在于这些文件实际上并不存在于文件系统中的特定位置,而只是 java 对象。 这些当前由使用 SettingProv
如果我在 XAML 中使用以下内容,我会收到错误消息: 错
我正在使用 laravel 资源来获取 api 的数据: return [ 'id' => $this->id, 'unread' =>
我有以下 pom.xml: 4.0.0 mycompany resource-fail 0.0.1-SNAPSHOT BazBat
许多GDI +类都实现IDisposable,但是我不确定何时应该调用Dispose。对于使用new或静态方法(例如Graphics.CreateGraphics)创建的实例来说,这很明显。但是,由属
我正在构建一组 RESTful 资源,其工作方式如下:(我将使用“people”作为示例): 获取/people/{key} - 返回一个人对象 (JSON) GET/people?first_nam
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。 要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是偏离主题的,因为
我有一个使用 $resource 的简单 Controller : var Regions = $resource('mocks/regions.json'); $scope.regions =
在 Azure 门户中,如何查看不同资源之间的依赖关系。我特别想查看哪些资源正在使用我要删除的存储。 最佳答案 您可以使用应用程序洞察应用程序 map 来执行此操作: 您还可以打开存储帐户的日志记录:
我正在使用 ionic 生成资源(图标和启动画面)。我正在使用 ionic v2.1.0 和 cordova v6.4.0。 到目前为止我一直在使用(它在以前的版本中工作): cordova plat
是否可以使用 Assets 包含子文件夹中的文件? 示例:[base_url]/assets/css/pepper-grinder/jquery-ui-1.8.11.custom.min.css 最佳
我正在阅读一些尝试教授 Android 开发的书。在书中,作者概述了 res/下的一些目录。他提到 res/menu 包含基于 XML 的菜单规范。他还提到了保存“通用文件”的 res/raw。当我创
关闭。这个问题是opinion-based 。目前不接受答案。 想要改进这个问题吗?更新问题,以便 editing this post 可以用事实和引文来回答它。 . 已关闭 9 年前。 Improv
我在服务器上使用 express-resource。在我的 AngularJS Controller 中: var User = $resource('/services/users/:use
因此,每当我运行我的应用程序时,它都会立即崩溃并给出以下错误: No package identifier when getting value for resource number 0x00000
对于我正在创建的(网络)应用程序,我需要使用基本身份验证在我的 UIWebView 中加载页面。 现在设置我使用的授权 header : NSString *result = [NSString st
我是一名优秀的程序员,十分优秀!