Drupal：触发了访问被拒绝，但我还是得到了内容

Question

我正在构建一个网站，为每个用户提供一个私人主页，其中包含他们可以看到但其他人看不到的内容。如果用户是页面的所有者，则 _menu 处理程序中的回调允许访问，否则拒绝访问；那里一切都很好。

我刚刚修改了该页面，使其内容由一组框而不是一大堆代码组成。内容正确地组合在一起，但有一个问题：如果用户 A 查看用户 B 的私人页面，他会得到一个“访问被拒绝”页面，这是他应该得到的。但是，这些块仍然会被调用，并且它们的内容仍然会出现在页面上，这样用户 A 就可以看到用户 B 的私人内容。该页面也没有出现通常的“您无权访问此页面”。通常显示在拒绝访问页面上的消息。

我完全不明白为什么会发生这种情况。我可以通过给它们一些正确设计的“在特定页面上显示块”功能来阻止这些块运行，但仍然会发生一些事情，(a) 看起来不正确，(b) 我不明白。总之，这让我对网站的访问控制发生的情况有一种不好/有趣的感觉，特别是它与块的关系。有人可以在这里提供任何见解吗？谢谢！

Answer 1

您应该在挂钩菜单中创建一个访问回调函数来执行访问检查。否则，即使您不渲染任何内容，用户也可以查看内容。由于块不是通过菜单回调创建的，因此它们会正常渲染。

有关参考，请参阅：hook_menu