安全:文档访问控制问题欧宝官网下载app

请,仔细阅读这篇文章作为您的应用程序可能是脆弱的,如果您正在使用访问控制规则来保护一些路径或ESI / Hincludes通过_internal路线。

我们最近发现的文档访问控制规则欧宝官网下载app不正确的。多亏了维克多Berchet报告这个问题。

这是一个严重的问题,因为这些访问控制规则让你安全应用程序的一些部分;它更糟糕的例子security.yml文件在Symfony标准ob娱乐下载版也是不正确的。

长话短说,使用知识产权设置在一个访问规则不限制路径只能给定IP地址:

1 2

access_control:- - - - - -{路径:^ / _internal,角色:IS_AUTHENTICATED_ANONYMOUSLY,知识产权:127.0。0。1}

上述规定不限制访问localhost (127.0.0.1)请求的路径开始/ _internal。如果你想要的路径开始/ _internal只有从本地主机访问,使用以下配置:

1 2 3

access_control:- - - - - -{路径:^ / _internal,角色:IS_AUTHENTICATED_ANONYMOUSLY,知识产权:127.0。0。1}- - - - - -{路径:^ / _internal,角色:ROLE_NO_ACCESS}

如果你想了解更多关于访问控制规则是如何工作的,读了更新欧宝官网下载app或者看一下补丁我们刚刚推。Symfony标准版的例子也在ob娱乐下载更新相应的行动。

文档更新欧宝官网下载app仅仅是第一步的解决这个问题的方式访问控制规则可以配置非常混乱。我们正在改善Symfony的配置访问控制规则2.3。ob娱乐下载