网址中的网址最安全的格式是什么?
例如 /login?redirect=where_you_were_before
它应该如何编码/解码。是否需要白名单?
问问题
1342 次
2 回答
0
- 上述漏洞称为开放重定向漏洞: https ://www.owasp.org/index.php/Open_redirect 。为防止该漏洞,请在您的应用程序中管理域/ips 的白名单。您的应用程序应该只允许重定向到白名单。
- 如果您开始开发自己的身份验证框架,您可能不会将“here_you_were_before”放在 URL 参数中。您可以将其存储在 HTTP 会话中
于 2013-05-07T07:13:15.467 回答
0
如果您从不需要重定向到外部 URL,您可以检查重定向参数是否为本地 URL。如果是,则重定向到那里,否则重定向到某个默认页面。
于 2013-05-08T19:22:51.493 回答