根据OWASP Top 10 List,防止不安全的直接对象引用的一种方法是仅提供间接引用。这些是人工引用,映射到服务器上的直接(例如DB)引用。映射存储在会话中。
不幸的是,这个解决方案并不是非常适合搜索引擎。爬虫存储的链接在另一个会话中无效。
有解决这个问题的方法吗?除了映射引用或检查对象访问之外,还有其他解决方案吗?
答案 0 :(得分:2)
您正在描述一个不存在的问题: - )
搜索引擎必须能够抓取并查看的所有内容都必须公开,因为搜索引擎可以看到的一切都可以被所有人看到。对于预期公开的数据 - 通过定义 - 对象引用永远不会是不安全的。不安全意味着它应该受到保护。
因此,如果您对此提出质疑,请退后一步,仔细查看您的数据。如果它必须是可抓取的,你为什么要保护它呢?如果它应该受到保护,你为什么要把它提供给搜索引擎。