Согласно OWASP Top 10 List одним из способов предотвращения небезопасных прямых ссылок на объекты является предоставление только косвенных ссылок. Это искусственные ссылки, которые сопоставляются с прямыми (например, БД) ссылками на сервере. Отображение сохраняется в сеансе.Небезопасные ссылки на прямые объекты и поисковые системы
К сожалению, это решение не очень подходит для поисковой системы. Ссылки, сохраненные искателем, будут недействительными в другом сеансе.
Есть ли способ обойти эту проблему? Существуют ли другие решения, помимо сопоставления ссылок или проверки доступа к объектам?
Я не уверен, понимаем ли мы то же самое по «небезопасной ссылке»: небезопасная ссылка является общедоступной ссылкой, которую можно легко изменить, чтобы она указывала на непубличный объект. Например. на веб-сайте есть две статьи: статья A с id 12 является общедоступной, статья B с идентификатором 43 является непубличной. Общедоступный (и сканированный) URL/article? Id = 12 использует небезопасную ссылку, поскольку ее можно легко изменить, чтобы показать статью 43, если дальнейшие меры предосторожности не выполняются. – raymi 2010-12-07 12:19:02