我給大家介紹一個簡單的場景:休息重放攻擊/安全
有這個URI表示的REST資源:/ API /消息/ {}用戶ID。在用戶登錄後,將派發一個請求傳遞給這個URI「userid」(記錄的用戶)。這樣,只要用戶登錄,他就根據他的ID獲得他自己的消息。
如果用戶尚未記錄,則URI不可見(存在認證過濾器)。
問題是:如果一個已經登錄的用戶發現了這個URI,他可以提交一個請求傳遞另一個ID,這將導致安全問題,因爲他將能夠從另一個用戶獲得消息(只需傳遞任何隨機ID) 。
你能提出任何安全模型來防止這種安全漏洞嗎? (我認爲它更可能是一個交叉問題)。
謝謝,提前!
然後根據url不要auth。使用cookie來傳遞認證數據。沒有該cookie,該網址將是無用的。 –