首页
注册
登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请
登录
V2EX 提问指南
广告
V2EX
›
问与答
网站登录后的转向地址不做判断是否存在隐患?
andybest
·
2013-04-25 14:04:13 +08:00
· 2075 次点击
这是一个创建于 4190 天前的主题,其中的信息可能已经有所发展或是发生改变。
站点上有一个页面提供了转向:
response.sendRedirect(url);
url参数由get方式从URL里取得:
http://mydomain.com/redirect.php?url=xxx
xxx原则上只能限于本站(mydomain.com)上的URL转向,但一直以来我都未在这里做判断
也就是用户可以随意输入任何URL实现自由转向(判断了URL格式,所以不会存在XSS)
在我能想到的问题里,最多是用户利用这个“漏洞”隐藏自己的referrer,其他似乎没问题
但是我看其他的站,比如QQ,163邮箱这些,有转向的地方都做了判断,不会是随便输什么URL都可以转
到底这个地方会存在什么问题?是否需要判断转向地址呢?
url
转向
判断
1 条回复
•
1970-01-01 08:00:00 +08:00
1
revlis7
2013-04-25 15:32:18 +08:00
1
有被别人利用欺诈的隐患,比如:
别人从你站点拷贝一个登陆地址,然后篡改登陆后的跳转地址:
http://example.com/login?url=www.hack.com
用户登录后,就可能会误导用户以为www.hack.com依然是在访问你的站点,然后提交一些敏感信息。
其他可能的问题暂时没有想到。
关于
·
帮助文档
·
博客
·
API
·
FAQ
·
实用小工具
·
2937 人在线
最高记录 6679
·
Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 34ms ·
UTC 14:20
·
PVG 22:20
·
LAX 07:20
·
JFK 10:20
Developed with
CodeLauncher
♥ Do have faith in what you're doing.