关于使用参数重定向的OWASP文档的说明
关于使用参数重定向的OWASP文档的说明
提问于 2015-02-03 23:59:09
我使用Rails 4.1.1,我希望接受一个redirect_path参数,以便在用户执行操作后重定向。我读过OWASP文档关于相关问题(网络钓鱼攻击)的文章,但我不明白。这些文件指出:
最基本的,但限制性的保护是使用:only_path选项。将此设置为true本质上将删除任何主机信息。
redirect_to params[:url], :only_path => true为了避免钓鱼攻击,redirect_to params[:url], :only_path => true足够了吗?还有其他的陷阱吗?
回答 1
Stack Overflow用户
回答已采纳
发布于 2015-02-04 07:14:35
制动器提出了两种降低风险的策略:
- 像你一样使用
only_path; - 解析重定向URL以手动提取路径
URI.parse(some_url).path
在过去的项目中,我重写了那个助手,以确保没有人会意外地忘记#1的额外参数。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/28311117
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号