虽然试图调试我与谷歌的OpenID的实现,它不停地返回Apache的406错误,我最终发现,我的托管公司不允许通过包含“/ ID”作为一个GET参数(如“例如一些字符串。 php?anyattribute =%2Fid“一次URL编码)。为什么“/ id”作为HTTP GET参数会成为安全漏洞?
这很烦人,因为Google openid终端包含这个死亡词“/ id”(https://google.com/accounts/o8/id),所以我每次使用Google登录时都会返回406个错误。我联系了我的托管公司,他告诉我这是为了安全目的而停用的。
我可以使用POST,肯定的。但有谁知道为什么这可能会导致安全问题?
为什么不在您的托管公司再次联系,并要求有关问题的更多细节? – Anax 2009-10-01 15:51:07
您是否要求托管公司解释*为什么*他们认为这是一个问题?如果他们无法向你解释,那么他们不知道他们为什么这样做,这表明他们可能不知道他们在做什么更广泛的意义;在这种情况下,您可能会考虑转移到其他公司。 – NickFitz 2009-10-01 15:52:47
那么,他们只是回答说他们使用http://www.modsecurity.org/作为他们的安全模块,我应该向其文档报告。 所以,它可以发生在任何有托管公司使用这个模块,我想。 我不确定我是否与技术人员交谈过,但无论如何,我想我现在已经得到了答案,并要求他们禁用此特定功能。 感谢大家! – ccazette 2009-10-02 10:12:16