什么是强制浏览

强制浏览是：

• 强制浏览是一种针对受保护程度不佳的网站和Web应用程序的攻击技术，它使攻击者能够访问他们不应该访问的资源。这些资源可能包含敏感信息。强制浏览是由粗心的编码引起的常见Web应用程序安全性问题。强制浏览由Mitre在CWE-425中正式定义。在来自Open Web Application Security Project的最新OWASP Top-10 2017中，强制浏览不视为单独的类别，而是包含在类别A5：2017-Broken Access Control中。

避免强制浏览的措施如下：

• 开发人员必须永远不要假定不可能找到公共可访问的URL。如果存在，则可以找到。身份验证是必须的。

• 开发人员必须永远不要假设用户通过身份验证后，就不需要任何其他访问控制。对于访问的每个网页，开发人员必须确保已认证的用户有权访问内容。