我在我的aem测试站点上进行测试,那里看起来一切都很好,但我得到了一个端点-site.com/content/dam.json,响应主体是:
{"jcr:primaryType":"sling:OrderedFolder","jcr:mixinTypes":["mix:lockable","rep:AccessControllable"],"jcr:createdBy":"admin","jcr:created":"Fri Jan 20 2017 12:42:20 GMT-0500","cq:conf":"/conf/global"}
当我发出POST请求时,响应内容更改成功,
在未经身份验证的情况下,是否真的可以使用该端点在应用程序上POST任何脚本、页面或任何东西?
如果是,怎么办?感谢的帮助
感谢
可能您正在测试身份验证(更有可能是作为管理员用户(,这就是POST能够修改内容的原因。除非你允许匿名用户(这是一种糟糕的做法(,否则你面向公众的网站是安全的。