Lo que el código de estado debe ser devuelto si alguien solicitud de acceso a la entidad a la que no le está permitido ver? Usted probablemente dirá que es 403: Prohibido. Pero es una práctica común para volver 404 lugar? No quiero saber a alguien que esta entidad aún existe si no le está permitido ver. ¿Qué te parece?

¿Qué sería de retorno para los recursos que no no existe y que el cliente no está autorizado a acceder?

OriginalEl autor Robo Robok | 2015-02-18

4 Comentarios

  1. 19

    Uso 404 No encontrado.

    El código de estado 404 también puede ser utilizado en 403 escenarios, cuando el servidor
    no queremos enviar la razón por la que se niega a servir a la
    solicitud. Un buen ejemplo es cuando el servidor detecta algún tipo de
    el ataque, que podría ser un ataque de fuerza bruta
    . En este caso, el
    el servidor responde con un mensaje de error 404 No se encuentra en lugar de un 403 (Prohibido) y un
    explicación.

    Fuente: Pro ASP.NET Web de Seguridad de la API

    OriginalEl autor Teoman shipahi

  2. 0

    Volver 403 Forbidden. Si el retorno de este para cada solicitud que el cliente no está autorizado a acceder y si nunca volver 404 Not Found, el cliente no sabe nada.

    Todo depende de cuán importante es esto para usted:

    No quiero saber a alguien que esta entidad aún existe si no le está permitido ver.

    Si esto es realmente importante, siempre regreso 403 Forbidden.

    Eso es esencialmente el mismo como siempre volviendo 404, usted ha tomado una condición diferente a la de retorno para los dos escenarios. Para el registro, si siempre regreso 404 el cliente no aprende nada.

    OriginalEl autor

  3. 0

    Bueno.. depende..

    Si sus extremos’ Url revelar información sensible (por ejemplo, en Dropbox de la API, consulte los archivos por sus nombres, en lugar de su Id – así que la Url contenga los nombres de archivo) o tal vez usted está usando secuencial Identificadores (por ejemplo, ascendente Identificadores que se pueden ataque de fuerza bruta), el retorno 404.

    Si usted necesita para apoyar una «Solicitud de Acceso» en función a los recursos que usted no tiene permisos para volver 403, de modo que su lado del cliente podría notar la diferencia.

    Por lo general, si su API utiliza Identificadores y nunca revelar información como parte de su Url, y está usando Uuid como IDs, me gustaría ir con 403.. como con muchos conocidos y muy protegido de las aplicaciones de hoy en día (Google, Microsoft, etc..).

    Eso es complicado, porque 401 podría ser utilizado para que la solicitud de acceso escenario así. O, siempre se puede volver 403 (como alguien sugirió) y permitir que las solicitudes de acceso a inexistente recursos que, básicamente, ir directamente a la basura.

    OriginalEl autor Moshe Bixenshpaner

  4. -4

    La esperanza de obtener algunas aclaraciones sobre errores de HTTP basada en lo que estoy publicando a continuación:

    De error HTTP 401 :: Este error ocurre cuando un visitante del sitio web intenta acceder a un restringida de la página web, pero no está autorizado para hacerlo.

    HTTP error 403 :: Este error es similar a la de error 401, pero se nota la diferencia entre no autorizado y lo prohibido. Por ejemplo, puede ocurrir si intenta acceder a un directorio(prohibido) en cualquier sitio web.

    De error HTTP 404 :: Un 404 error se produce cuando intenta acceder a un recurso en un servidor web (normalmente una página web) que no existe.

    😛 Olvidé que no estaba trabajando en mi casa sitio de portal. Se acaba la función similar como lo que acabo de confundió! De todos modos, ¿esta respuesta es lo que estás buscando?
    No, es sólo la definición de los códigos de estado, yo sé lo que significan.

    OriginalEl autor Prashant Gadhvi

Dejar respuesta

Please enter your comment!
Please enter your name here