금지 된 페이지가 항상 403 코드로 응답해야합니까?

Question

onrequeststart()에있는 "금지 된"/ "승인되지 않은"요청을 프로그래밍 방식으로 처리하는 ColdFusion 웹 사이트가 로그인 한 사용자의 속성에 따라 Application.cfc에 있습니다. 예를 들어 (참고 : SESSION.User는 onSessionStart() 초기화합니다 :

이

<cffunction name="onRequestStart" returnType="Boolean" output="false"> 
    <cfargument name="targetPage" type="string" required="true"> 

    <cfparam name="REQUEST.MinSecurityLevel" default="0" /> 
    <cfparam name="REQUEST.IsLoginRequired" default="false" /> 

    <cfif REQUEST.IsLoginRequired AND NOT SESSION.User.isLoggedIn()> 
     <cfscript> 
      SESSION.LoginMessage = 
       "Your session has timed out. Please log in again."; 
      SESSION.LastPageVisited = 
       getPageContext().getRequest().getRequestURI(); 

      if (Len(Trim(getPageContext().getRequest().getQueryString()))) 
       SESSION.LastPageVisited = 
         SESSION.LastPageVisited 
        & "?" 
        & getPageContext().getRequest().getQueryString(); 
     </cfscript> 

     <cflocation url="/user/login/" addtoken="false" /> 
    <cfelseif SESSION.User.getSecurityLevel() LT REQUEST.MinSecurityLevel> 
     <cfheader statuscode="403" statustext="Forbidden" /> 
    </cfif> 

    <cfreturn true /> 
</cffunction> 

는 IIS (버전 7)에서, 내가 유형과 오류 페이지 설정 "URL을 실행"내 사용자 지정 403 페이지의 경로가

내가. 수이 트리거, 그리고 제대로 내 사용자 지정 403 페이지를 표시하지만, 그것은 HTTP 응답 코드를 반환하는 200

이 반환되지해야 403?

Answer 1

내 응답에 해결책을 발견 그것은 비록 보인다 위의 @ Miguel-F에게. 나는 간단히 모방한다.

/missing-template/index.cfm :

<cfheader statuscode="404" statustext="Not Found" /> 

/not-authorized/index.cfm :

<cfheader statuscode="403" statustext="Forbidden" /> 

내가 404 오류를 처리하기 위해 뭘하는지의 KED 부분

403 처리기 페이지에 403 헤더를 추가하면 무한 루프가 발생한다고 생각했지만 제대로 작동합니다.

403가 트리거되면 추가 처리를 위해 필요가 없기 때문에 나는 또한 onRequestStart()에 추가 :

<cfelseif SESSION.User.getSecurityLevel() LT REQUEST.MinSecurityLevel> 
    <cfheader statuscode="403" statustext="Forbidden" /> 

    <cfreturn false /> 
</cfif>