soma0822
commented
7 months ago アプリケーションがリソースの存在自体を隠したいときにRFCだと403で404を返すのは許容されてる。
親ディレクトリの読み取り権限がないことを、リソースの存在を隠したいと解釈すれば正しそう?
Closed tkuramot closed 7 months ago
soma0822
commented
7 months ago アプリケーションがリソースの存在自体を隠したいときにRFCだと403で404を返すのは許容されてる。
親ディレクトリの読み取り権限がないことを、リソースの存在を隠したいと解釈すれば正しそう?
tkuramot
commented
7 months ago 親ディレクトリの読み取り権限がないことを、リソースの存在を隠したいと解釈すれば正しそう?
良さそう!
378
369
やったこと
DELETEで403が帰るはずなのに404が帰ってしまうのを直した GETに関しても同じ問題があったので修正
原因
access,statでファイルの存在を確認するには、inode情報にアクセスする必要があるから親ディレクトリの実行権限も必要になるのが原因対策
問題
このやり方をしても、読み取り権限がないディレクトリについては404が帰るはず 親ディレクトリの読み取り権限を必須にすれば適切に403を返せるけどそうしますか?
ちなみにRFCだと403で404を返すのは許容されてる。アプリケーションがリソースの存在自体を隠したいときにっていう文脈だけど