我正在设计我的 403 页面,但我似乎无法获得我在各种禁止页面上填充的“原因”字符串,以便对手头的问题给出更相关的响应。如果我在模板中键入 ${response.reason},整个页面将被替换为仅响应的文本。
问问题
126 次
2 回答
2
在代码中,您似乎可以通过以下方式在模板中获取此值
${result.getMessage()}
结果是从 RuntimeException 继承的 Forbidden 对象,并且您提供的描述作为异常消息传递给基类
于 2012-10-03T06:48:07.560 回答
1
您不想再提供“禁止”的理由。从安全的角度来看,用户尝试了未经授权的操作,而您要做的最后一件事就是告诉他们到底出了什么问题(未知用户、无效密码等)。如果你这样做,你就是在泄露可以帮助用户渗透你系统的信息。
例如,如果您区分未知用户和无效密码,您就放弃了用户标识是否存在。
于 2012-09-27T23:48:52.837 回答