Grails URL 映射安全问题答案

【问题标题】：Grails URL Mappings security concernsGrails URL 映射安全问题
【发布时间】：2012-10-08 10:01:37
【问题描述】：

我正在构建一个grails应用，grails提供的默认URLMapping是/$controller/$action?/$id

我担心这个包罗万象的映射的安全方面。一方面，明确列出我们所有的映射很痛苦，但另一方面似乎可能存在潜在的安全问题，例如忘记保护某些映射。

通过明确指定映射，我们可以更严格地控制 URL。它还可以让我们制作更用户友好的 URL（例如，也许我们可以将诸如使用 people/john/ url 而不是 /erson/john 之类的东西复数化。

保留默认映射是否还有其他问题？是否有可能我们无意中暴露了某个管理页面是有效的事实（我将不得不更多地研究弹簧安全性，以了解如何重定向到 404 以尝试访问非管理员用户的管理页面）？

【问题讨论】：

【解决方案1】：

我想你自己回答了。默认 url 映射 "/$controller/$action?/$id" 易于使用，但在控制器安全实施不良的情况下可能会被用作漏洞。

但最好的解决方案可能是即使在域级别也进行安全检查，因此即使用户可以访问未经授权的控制器，异常也会阻止他对域执行任何操作。

【讨论】：