0

我正在构建一个 grails 应用程序,grails 提供的默认 URLMapping 是/$controller/$action?/$id

我担心这个捕获所有映射的安全方面。一方面,明确列出我们所有的映射很痛苦,但另一方面似乎可能存在潜在的安全问题,例如忘记保护某些映射。

通过显式指定映射,我们可以更严格地控​​制 URL。它还让我们可以制作更加用户友好的 URL(例如,也许我们可以将诸如使用people/john/url 代替/erson/john.

保留默认映射是否还有其他问题?是否有可能我们无意中暴露了某个管理页面有效的事实(我将不得不更多地研究弹簧安全性,以了解如何重定向到 404 以尝试访问非管理员用户的管理页面)?

4

1 回答 1

1

我想你自己回答了。默认 url 映射 "/$controller/$action?/$id" 易于使用,但在控制器安全实施不良的情况下可能会被用作漏洞。

但最好的解决方案可能是在域级别进行安全检查,因此即使用户可以访问未经授权的控制器,异常也会阻止他对域执行任何操作。

于 2012-10-18T07:52:57.010 回答