Grails的URL映射安全涉及

Question

我建立一个Grails应用程序，并通过Grails的提供的默认urlMapping中是/$controller/$action?/$id

我很担心这个包罗万象的映射的安全方面。一方面，明确列出所有映射是一种痛苦，但另一方面，似乎可能存在潜在的安全问题，例如忘记确保某些映射。

通过明确指定映射，我们对URL进行了更严格的控制。它也让我们赚更多的用户友好的URL（例如，也许我们可以以复数之类的东西使用具有people/john/网址，而不是/erson/john。

与保留默认映射还有其他问题吗？有一种可能性，即我们可能会无意中暴露事实上，某个管理页面是有效的（我将不得不关注如何重定向到404试图访问非管理员用户的管理页面的春季安全）？

Answer 1

我想你自己回答了。默认的URL映射“/ $ controller/$ action？/ $ id”很容易使用，但可能会在控制器安全执行失败的情况下用作漏洞。

但是可能最好的解决方案是即使在域级别也要进行安全检查，所以即使出现错误，用户也可以访问未授权的控制器，但例外情况会阻止他对域执行任何操作。