1
有些情況下,應該告訴沒有授權訪問資源的客戶端,它不存在而不是被告知他們沒有被授權。如果服務器這樣做,技術上是否違反了HTTP 1.1?HTTP服務器可以響應404以隱藏資源的存在嗎?
有些情況下,應該告訴沒有授權訪問資源的客戶端,它不存在而不是被告知他們沒有被授權。如果服務器這樣做,技術上是否違反了HTTP 1.1?HTTP服務器可以響應404以隱藏資源的存在嗎?
RFC中沒有任何東西強制您每次都告訴客戶真相。最後歸結爲你希望瀏覽器後面的人對特定響應做出反應。如果您發送403 Forbidden
,用戶將知道他們可能無法訪問此資源(並且沒有認證窗口會自動打開)。如果您要發送404 Not Found
,他們可以認爲服務器運營商(您)發生了錯誤。
您的選擇。
無論資源的存在/不存在,當用戶未經授權並且您明確告知時,它本身是否會隱藏? – tigeronk2