许多应用把URL的最后一部分当作从GORM或者其他地方获取的某个对象的id。
特别是当发生在GORM中时,这些id号是很容易猜测的,因为这些id号通常是一串数字。
因此你必须假定请求用户在请求返回时用请求id号可以看见相对应的对象。
不这样做是隐藏式安全,这样做毫无疑问是非法的,像有letmein的默认密码等等这些情况。
你必须假设每个未受保护URL都可以公共访问。
许多应用把URL的最后一部分当作从GORM或者其他地方获取的某个对象的id。
特别是当发生在GORM中时,这些id号是很容易猜测的,因为这些id号通常是一串数字。
因此你必须假定请求用户在请求返回时用请求id号可以看见相对应的对象。
不这样做是隐藏式安全,这样做毫无疑问是非法的,像有letmein的默认密码等等这些情况。
你必须假设每个未受保护URL都可以公共访问。