gsp 파일 보안하기

Question

저는 Spring에 비교적 익숙하지 않습니다 만, Spring Security와 Grails에는 새로운 것이 있습니다. 요약하면 .jsp 파일을 서비스 할 수 없도록 권장하고, WEB-INF로 던져서 컨트롤러를 올바른 위치에서 가져 오도록 설정해야합니다.

Grails에서 어떻게해야합니까? gsp를 WEB-INF로 던지고 모든 컨트롤러에 논리를 쓰면 "컨벤션 오버 컨벤션"아이디어가 파괴 될 것 같습니다. (만약 가능하다면 ...) 기본 Grails 구성을 변경해야 할 것 같습니다. .

아이디어가 있으십니까?

Answer 1

OK, 나는 여기에 대한 완벽한 해답을 보지 못했다 (또는 다른 일에 StackOverflow) 전체 유효한 결과를 제공합니다, 그래서 여기에 내가 가지고 올 한 내용은 다음과 같습니다

이

첫째, 새로운 컨트롤러를 만들 : 오픈 grails-app/conf/UrlMappings.groovy을 다음

index = { 
    response.status = 404 
} 

과 static mappings closu에 따라 본을 추가

grails create-controller gspForbidden 

열기 이것을, 인덱스 액션이 추가 재 :

"/grails-app/**.gsp"(controller:"gspForbidden") 

이것은 gspForbidden 컨트롤러에 직접 GSP를 볼 수 어떤 시도를 리디렉션합니다. 그 컨트롤러는 차례로 단순히 응답을 찾지 못한 파일을 렌더링합니다. 이것에 대한 가장 좋은 점은 완전히 숨겨져 있다는 것입니다. GS 경로가 정확하다는 것을 보여주는 것은 없으므로 애플리케이션 디자인에 중요한 요소가 노출 될 확률이 적습니다.

UrlMappings을 사용하여 컨트롤러없이 404를 표시하는 방법을 반복적으로 시도했지만 성공하지 못했습니다. 생각할 수있는 방법이 있으면 알려주세요. 나는 오히려 어떤 명시 적 컨트롤러없이 이런 일이 일어나기를 바랄 것이다.

Answer 2

Grails에서 실제로 걱정할 필요가 없습니다. 보기 및 컨트롤러 사용 규칙을 따르면 GSP 페이지에 직접 액세스 할 수 없도록하는 모든 세부 정보를 처리합니다.

스프링 보안과의 통합에 관해서는 권장 된 패턴 (컨트롤러 내의 URL 보안 또는 주석)을 따르는 경우에도 괜찮을 것입니다. 봄 보안 플러그인 문서에서

Answer 3

:

package com.testapp 
import grails.plugins.springsecurity.Secured 

class SecureController { 

    @Secured(['ROLE_ADMIN']) 
    def index = { 
     render 'Secure access only' 
    } 
} 

위의 예와 같은 GSP 페이지를 보호 할 수 있습니다. 보안 된 주석은 관리자 권한이있는 사용자에게만 액세스 권한을 제공합니다.

http://grails-plugins.github.com/grails-spring-security-core/docs/manual/

튜토리얼 시작으로 좋은 있습니다에

자세한 내용은, 참조하십시오. 이전 게시물에

Answer 4

약간의 보정 :

그냥 (그것은 작동, 난 그냥 그것을 시도) 직접 타격에서 GSP의 삶을 어디 추측 사람을 방해하지 않는 Grails의의 규칙을 준수.