在尝试使用 Google 调试我的 openid 实现时,它一直返回 Apache 406 错误,最后我发现我的托管公司不允许将包含“/id”的字符串作为 GET 参数传递(类似于“example.php? anyattribute=%2Fid" 一旦 URL 编码)。
这很烦人,因为谷歌 openid 端点包含这个死亡词“/id”(https://google.com/accounts/o8/id ),所以每次我用谷歌登录时,我的应用程序都会返回 406 错误。我联系了我的托管公司,他们告诉我,出于安全目的,该服务已被停用。
当然,我可以改用 POST。但是有没有人知道为什么这会导致安全问题???
不能,楼主太傻了。string 没有什么神奇之处/id。
有时人们会用字符串做一些愚蠢的事情/id,比如假设没有人会猜到接下来会发生什么,所以这会example.com/mysensitivedata/id/3/显示我的数据,因为我的用户有id3 个,并且作为一种偷偷摸摸的类型,我想知道如果我导航到example.com/mysensitivedata/id/4/和你的网站会发生什么让我进去看看别人的东西。
如果这种攻击破坏了您的网站,那么您的主机再多的溺爱也无济于事。
URL 中的简单 ID 可能是安全问题的一个原因是用户可以看到他们的 ID,然后输入另一个 ID,例如如果它是一个整数,他们可能会选择下一个整数,如果它可能会看到另一个用户信息不受保护。