Grails的URL映射安全涉及

Question

我建立一個Grails應用程序，並通過Grails的提供的默認urlMapping中是/$controller/$action?/$id

我很擔心這個包羅萬象的映射的安全方面。一方面，明確列出所有映射是一種痛苦，但另一方面，似乎可能存在潛在的安全問題，例如忘記確保某些映射。

通過明確指定映射，我們對URL進行了更嚴格的控制。它也讓我們賺更多的用戶友好的URL（例如，也許我們可以以複數之類的東西使用具有people/john/網址，而不是/erson/john。

與保留默認映射還有其他問題嗎？有一種可能性，即我們可能會無意中暴露事實上，某個管理頁面是有效的（我將不得不關注如何重定向到404試圖訪問非管理員用戶的管理頁面的春季安全）？

Answer 1

我想你自己回答了。默認的URL映射「/ $ controller/$ action？/ $ id」很容易使用，但可能會在控制器安全執行失敗的情況下用作漏洞。

但是可能最好的解決方案是即使在域級別也要進行安全檢查，所以即使出現錯誤，用戶也可以訪問未授權的控制器，但例外情況會阻止他對域執行任何操作。