我意识到我的网站上有一点安全漏洞,特别是当它处于开发模式时。
问题是您可以在不登录的情况下访问用户指南/ API浏览器。现在用户指南不是什么大问题,但API浏览器有点担心,因为我的所有代码都是可见的它。我有点担心,因为我的一些开发网站是公开的,所以其他人可以访问(尽管他们已被阻止被编入索引)。
我已经看过Controller_Userguide,并没有像其他控制器那样从另一个控制器扩展(例如模板)。相反,它是最终的控制者。在这种情况下,我不允许将控制器扩展到before()方法。
我想在用户未登录时排除模块,但我不能,因为尚未加载auth模块。
我在开发网站上已经只包含了用户指南(和其他模块),所以这有帮助,但我不会称之为安全性。
关于如何实现这一目标的任何其他想法?
答案 0 :(得分:2)
是否有任何理由允许登录用户查看用户指南?
我会在bootstrap
中添加这样的东西//Add modules that are only relevant to local development
if(Kohana::$environment == Kohana::DEVELOPMENT)
{
Kohana::modules(array_merge(Kohana::modules(), array(
'codebench' => MODPATH.'codebench', // Benchmarking tool
'userguide' => MODPATH.'userguide', // User guide and API documentation
'unittest' => MODPATH.'unittest', // Unit testing
)));
}
然后,任何面向公众的网站都会将$environment
更改为其他内容,例如STAGING
或TESTING
Kohana::$environment = Kohana::TESTING //In the bootstrap file
替代地
SetEnv KOHANA_ENV TESTING //to the .htaccess file
选项2 - 首先加载auth模块
我刚试过这个,似乎对我有用。在您的引导程序文件中,加载如下模块:
/**
* Enable modules. Modules are referenced by a relative or absolute path.
*/
Kohana::modules(array(
'auth' => MODPATH.'auth', // Basic authentication
'cache' => MODPATH.'cache', // Caching with multiple backends
'database' => MODPATH.'database', // Database access
'image' => MODPATH.'image', // Image manipulation
'orm' => MODPATH.'orm', // Object Relationship Mapping
));
//Add modules that are only relevant to testing
if(Kohana::$environment == Kohana::DEVELOPMENT and Auth::instance()->logged_in())
{
Kohana::modules(array_merge(Kohana::modules(), array(
'codebench' => MODPATH.'codebench', // Benchmarking tool
'userguide' => MODPATH.'userguide', // User guide and API documentation
'unittest' => MODPATH.'unittest', // Unit testing
)));
}
选项3 - 隔离API浏览器
userguide config中有一个配置选项:
// Enable the API browser. TRUE or FALSE
'api_browser' => TRUE,
如果用户未登录,您可以将其设置为false,类似于上面模块的加载。目前它是一个错误,它崩溃了用户指南模板,因为它无法找到API的路由。
如果你想努力让它发挥作用(直到有更新),然后将/modules/userguide/views/userguide/template.php
复制到/application/views/userguide/template.php
,然后用以下代码替换28到30行:
<li class="api">
<a href="<?php echo (Kohana::$config->load('userguide.api_browser') === TRUE)?Route::url('docs/api'):'#'; ?>"><?php echo __('API Browser') ?></a>
</li>
并将其放入/application/config/userguide.php
:
<?php defined('SYSPATH') or die('No direct script access.');
$config = array();
if(Kohana::$environment == Kohana::DEVELOPMENT and Auth::instance()->logged_in())
{
$config['api_browser'] = FALSE;
}
return $config;