2
err := Db.Find(&event, id).Error
if err != nil {
c.JSON(500, err.Error())
return
}
我擔心它可能包含敏感信息。例如:當連接到數據庫並且數據庫證書無效時,我擔心錯誤消息可能是這樣的:「無效的用戶名:示例和密碼:xxx」
A
回答
3
您有效地回答了您自己的問題:您指出它可能包含敏感信息,這意味着它是而不是始終可以安全地將它們包含在對用戶可見的響應中。
它也可能包含與您的實現相關的信息(例如軟件包名稱,類型名稱,調用層次結構)以及配置數據(例如服務器名稱,數據庫名稱,用戶名等),可能會暴露私人敏感架構和商業信息。
想一想:您是一名軟件包作者,並且您創建了由您的函數/方法返回的error值(錯誤消息)。您爲描述性錯誤消息描述了爲什麼所請求的功能無法正常完成,旨在爲最終用戶提供該功能/方法(開發人員)和而非的呼叫者 - 誰不應該知道發動機罩下發生了什麼。
error.Error()消息是針對開發者的。在測試過程中它們也很有用。它們是搜尋錯誤不可缺少的。您不應將它們展示給用戶,而是將它們記錄到您有權訪問的位置,並向用戶提供更一般或用戶友好的錯誤消息,確保他們已通知開發團隊並正在調查問題。顯示原始錯誤消息可能會導致無經驗的用戶感到困惑,並可能引發安全問題。
1
最好的方法是寫入錯誤日誌,並返回自定義數據庫錯誤信息。
,如:
var (
ErrEventNotFound = "Event not found."
)
err := Db.Find(&event, id).Error
if err != nil {
// Log to file
c.JSON(500, ErrEventNotFound)
return
}
相關問題
- 1. 在mysql中,「解釋...」總是安全嗎?
- 2. 在PHP中總是使用===安全嗎?
- 3. Response.Redirect(Request.Url.AbsolutePath)總是「安全」嗎?
- 4. 將REST服務的CSRF令牌包含爲Http響應頭是否安全?
- 5. GET響應中包含URL
- 6. PHP - 「包含」功能是否安全?
- 7. 通過StofDoctrineExtensionsBundle包含DoctrineExtensions是否安全?
- 8. 我應該總是在我的if語句中包含其他內容嗎?
- 9. 在json響應中包含函數值
- 10. Rails - 在json響應中包含關聯
- 11. ClassLoader應該是線程安全的嗎?
- 12. 類應該是線程安全的嗎?
- 13. ping響應是否包含MAC地址?
- 14. 從URL中刪除尾部斜槓總是安全的嗎?
- 15. 從正在返回的界面投射?它總是安全嗎?
- 16. 包含在.gitignore Visual Studio * .tlog文件中是否安全?
- 17. XML響應在API響應中包含HTML編碼
- 18. 是java.nio.file.Files.write(...)安全嗎?
- 19. 是OrderByRaw()安全嗎?
- 20. 是NetNamedPipeBinding安全嗎?
- 21. 是PDO安全嗎?
- 22. 春季安全總是302
- 23. 文本應該總是被包含在一個html標籤中?
- 24. Restharp響應總是空的
- 25. 安全響應時間
- 26. autogen.sh應該包含在tarball中嗎?
- 27. Gemfile.lock應該包含在.gitignore中嗎?
- 28. json響應包含\ n \ r
- 29. Rest API - 在JSON響應中獲取密碼是否安全
- 30. 在HTTP響應中使用「X -...」頭是否安全?