对于存在但用户没有足够权限(他们未登录或不属于正确的用户组)的网页,要提供的正确HTTP响应是什么?

401未授权?403禁止?还有别的吗?

到目前为止,我读到的每一篇文章都不太清楚两者之间的区别。每个响应都适合哪些用例?


当前回答

这是一个更老的问题,但一个从未真正提出过的选项是返回404。从安全角度来看,投票最高的答案存在潜在的信息泄漏漏洞。例如,假设所讨论的安全网页是一个系统管理页面,或者更常见的是,是一个用户无权访问的系统记录。理想情况下,您不希望恶意用户知道那里有一个页面/记录,更不用说他们无权访问。当我构建这样的东西时,我将尝试在内部日志中记录未经验证/未经授权的请求,但返回404。

OWASP提供了有关攻击者如何将此类信息用作攻击一部分的更多信息。

其他回答

根据RFC 2616(HTTP/1.1)403在以下情况下发送:

服务器理解该请求,但拒绝履行该请求。授权没有帮助,不应重复该请求。如果请求方法不是HEAD,并且服务器希望公开请求未完成的原因,则应在实体中描述拒绝的原因。如果服务器不希望向客户端提供此信息,则可以使用状态代码404(未找到)

换句话说,如果客户端可以通过认证访问资源,则应发送401。

编辑:RFC2616已过时,请参阅RFC9110。

401未授权:

如果请求已经包括授权凭证,则401响应指示已拒绝对这些凭证的授权。

403禁止:

服务器理解该请求,但拒绝履行该请求。

从您的用例来看,用户似乎没有经过身份验证。我会返回401。


401未经授权:我不知道你是谁。这是一个身份验证错误。403禁止:我知道你是谁,但你没有访问此资源的权限。这是一个授权错误。

考虑到最新的RFC(7231和7235),用例似乎非常清楚(添加了斜体):

401表示未经认证(“缺少有效认证”);即“我不知道你是谁,或者我不相信你是你说的那样。”

401未授权

401(未授权)状态代码表示请求没有已应用,因为它缺少有效的身份验证凭据目标资源。生成401响应的服务器必须发送WWW Authenticate头字段(第4.1节),至少包含一个适用于目标资源的挑战。

如果请求包括认证证书,则401响应表明授权已被拒绝资格证书用户代理可以使用新的或替换了Authorization头字段(第4.2节)。如果401响应包含与先前响应相同的挑战用户代理已经至少尝试了一次身份验证,然后用户代理应向因为它通常包含相关的诊断信息。

403表示未经授权(“拒绝授权”);即“我知道你是谁,但你无权访问此资源。”

403禁止

403(禁止)状态代码表示服务器已理解请求,但拒绝授权公开为什么该请求被禁止可以描述这一点响应有效载荷中的原因(如果有的话)。

如果请求中提供了身份验证凭据服务器认为它们不足以授予访问权限。客户不应自动重复相同的请求资格证书客户可以用新的或不同的重复请求资格证书然而,出于某些原因,请求可能被禁止与证书无关。

希望“隐藏”当前存在的禁用的目标资源可能会以状态代码响应404(未找到)。

401:您需要HTTP基本身份验证才能看到这一点。

如果用户只需要使用您站点的标准HTML登录表单登录,401将不合适,因为它特定于HTTP基本身份验证。

403:此资源存在,但您无权查看它,HTTP基本身份验证也无济于事。

我不建议使用403来拒绝访问/包含之类的内容,因为就web而言,这些资源根本不存在,因此应该使用404。

换句话说,403表示“此资源需要HTTP基本身份验证以外的某种身份验证(例如使用网站的标准HTML登录表单)”。

https://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html#sec10.4.2