标签: api security
我有一个问题:
目前在我的API设计中,如果用户尝试访问未找到的资源(404错误),我们会返回错误消息以及用户尝试访问的资源。
<p>& {'errors.404.desc'} ${result?.log}</p> # <p>& {'errors.404.return'} </p>
但是一些团队成员担心这会导致网络钓鱼。
我的问题是:提供动态错误消息是正确的做法还是应该避免这种做法?