我正在Cake PHP 3网站上进行安全扫描,它报告的问题之一是您可以通过发送未经身份验证的请求来发现有效路径。
扫描工具正在使用一个通用名称库,并将请求发送到诸如https://example.com/admin之类的url。这样做时,CakePHP将/ admin标识为有效路径,然后使用302将用户重定向到登录屏幕,并将该路径传递给url,以便在登录后将用户重定向到正确的页面。
对于无效路径,CakePHP返回404。
我想做的是,在两种情况下都返回403,而没有给出识别有效路径的方法。
有人可以建议实现这一目标的最佳方法吗?
谢谢