CFC 的一大特色是能够为直接 .cfm 页面和 Flex 应用程序重用代码。
我开发的一个这样的应用程序使用 Flex 的图表功能,并且需要访问 cfc 中的“getResults()”函数。
所有这些内容都在身份验证机制之后,但由于 cfc 将向 wsdl 请求开放:
如果 URL 查询设计得当,实际上会将结果返回给浏览器:
https://myserver.com/c/functions.cfc?method=getResults&Term=2009&Course=Anatomy
除非请求直接来自 CFML 处理器或来自 Flex Remoting,否则人们使用哪些技术来保护 cfc 免受直接访问?
最佳答案
您可以利用一些 CGI 范围变量来检查请求的来源。
即:CGI.REMOTE_HOST,CGI.REMOTE_ADDR
因此,您可能会构造一个带有 access="public"属性的新函数,该函数根据服务器的有效值列表检查这些变量的值。如果它返回 true,您将执行请求,如果它返回 false,您将抛出/返回某种错误。
关于apache-flex - 如何防止窥探者访问 CFC 中的 ="remote"功能?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/900348/