不安全的直接对象引用和搜索引擎

Question

根据OWASP Top 10 List，防止不安全的直接对象引用的一种方法是提供仅间接引用。这些是映射到服务器上的直接（例如数据库）引用的人工引用。映射存储在会话中。

不幸的是，这个解决方案对搜索引擎不太友好。爬虫存储的链接在另一个会话中将无效。

有办法解决这个问题吗？除了映射引用或检查对象访问之外，还有其他解决方案吗？

Answer 1

您正在描述一个不存在的问题:-)

搜索引擎必须能够抓取和看到的所有内容都必须是公开的，因为搜索引擎可以看到的所有内容都可以被每个人看到。对于根据定义预计公开的数据，对象引用永远不会不安全。不安全意味着它应该受到保护。

因此，如果您对此有疑问，请退一步并仔细查看您的数据。如果它必须是可爬行的，你为什么要试图保护它？如果它应该受到保护，为什么要把它提供给搜索引擎呢？