我正在使用 Flask,我突然想到在登录/注销后通过简单地放置一个 session['next'] = request.url<> 在我的应用程序的每个端点,并让我的登录/注销功能直接重定向到 session.get('next')。如果启用 USE_SESSION_FOR_NEXT,这甚至类似于 Flask-Login 扩展中的一个选项。
我想确认这是一个安全的工作流程,但我不精通安全,无法识别是否有任何方法可以欺骗 request.url,或者我是否仍应在重定向之前验证下一个 url,如此处指定:
这种方法没有得到更广泛部署的原因是什么?这似乎是一个很好、干净、简单的解决方案,可以保持 URL 的干净,最大限度地减少字段/处理,并在您不采取额外步骤验证下一个 URL 时消除开放重定向攻击的漏洞。有什么收获?
最佳答案
长话短说
这是一个安全的工作流程,假设您的服务器对所有安全资源的传入请求进行身份验证。
当您问“我是否仍应在重定向之前验证下一个 URL”时,答案是否定的,但您需要验证对该 URL 的所有请求(重定向后)以确保它们已登录。
在您的问题中,听起来您正试图对用户隐藏 url,直到他们登录为止。这不是必需的。
例如,假设您有两个网址:
url 1: "/login" # anyone can access this
url 2: "/secure_page" # only a logged in user can access this
假设用户未登录,并尝试导航到 yoursite.com/secure_page。他们应该每次都被重定向到您的登录页面。如果他们知道 secure_page url,那根本不会危及您的安全。事实上,他们一定已经知道那个 url,因为他们首先导航到那个页面,所以他们要么输入它,点击一个链接,要么它被保存在书签或浏览历史中。重要的是,当您处理对 secure_page 的请求时,您需要他们登录。
你问他们是否可以“欺骗”他们被重定向到的 url。他们不能,当你像那样将它保存在 session 中时。但是,他们可以在登录后点击他们想要的任何 url,因此他们是否“欺骗”该 url 并不重要。
因此,由于他们已经知道该 url,并且他们可以在登录后点击他们想要的任何 url,因此您无需对用户保密该 url。这样做的唯一好处是在美学上更简洁的 url。这就是为什么您会看到许多如下所示的登录页面:
http://yoursite.com/login?next=secure_page
那里发生的事情是他们将下一个 url 保存为 HTTP GET 参数。虽然它不太“干净”,但更明确,因此它有利有弊。如果他们稍后重新访问登录页面,将不再发生重定向,这可能是您想要的行为。使用您当前的代码,一旦重定向在 session 中,此后的下一次登录将遵循重定向直到 session 过期,这可能是在用户离开并且其他人使用该 Web 浏览器之后。
许多网站都按照我上面显示的方式进行操作。 Django does it that way .在这种情况下,恶意链接可能会提供“下一个”URL 并将其重定向到某个网络钓鱼站点,但可以通过确保“下一个”URL 不会离开您的域来轻松防止这种情况。
这是一个basic cheat sheet用于重定向/转发安全(您正在重定向,但其他登陆此处的人可能正在考虑转发请求)。
关于python - 将我的 'next' url 存储在签名的 cookie 中并无忧无虑地重定向到它是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43560155/
关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭4年前。Improvethisquestion我想在固定时间创建一系列低音和高音调的哔哔声。例如:在150毫秒时发出高音调的蜂鸣声在151毫秒时发出低音调的蜂鸣声200毫秒时发出低音调的蜂鸣声250毫秒的高音调蜂鸣声有没有办法在Ruby或Python中做到这一点?我真的不在乎输出编码是什么(.wav、.mp3、.ogg等等),但我确实想创建一个输出文件。
我正在尝试测试是否存在表单。我是Rails新手。我的new.html.erb_spec.rb文件的内容是:require'spec_helper'describe"messages/new.html.erb"doit"shouldrendertheform"dorender'/messages/new.html.erb'reponse.shouldhave_form_putting_to(@message)with_submit_buttonendendView本身,new.html.erb,有代码:当我运行rspec时,它失败了:1)messages/new.html.erbshou
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
我在我的项目目录中完成了compasscreate.和compassinitrails。几个问题:我已将我的.sass文件放在public/stylesheets中。这是放置它们的正确位置吗?当我运行compasswatch时,它不会自动编译这些.sass文件。我必须手动指定文件:compasswatchpublic/stylesheets/myfile.sass等。如何让它自动运行?文件ie.css、print.css和screen.css已放在stylesheets/compiled。如何在编译后不让它们重新出现的情况下删除它们?我自己编译的.sass文件编译成compiled/t
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
我在我的项目中添加了一个系统来重置用户密码并通过电子邮件将密码发送给他,以防他忘记密码。昨天它运行良好(当我实现它时)。当我今天尝试启动服务器时,出现以下错误。=>BootingWEBrick=>Rails3.2.1applicationstartingindevelopmentonhttp://0.0.0.0:3000=>Callwith-dtodetach=>Ctrl-CtoshutdownserverExiting/Users/vinayshenoy/.rvm/gems/ruby-1.9.3-p0/gems/actionmailer-3.2.1/lib/action_mailer
在MRIRuby中我可以这样做:deftransferinternal_server=self.init_serverpid=forkdointernal_server.runend#Maketheserverprocessrunindependently.Process.detach(pid)internal_client=self.init_client#Dootherstuffwithconnectingtointernal_server...internal_client.post('somedata')ensure#KillserverProcess.kill('KILL',
我已经从我的命令行中获得了一切,所以我可以运行rubymyfile并且它可以正常工作。但是当我尝试从sublime中运行它时,我得到了undefinedmethod`require_relative'formain:Object有人知道我的sublime设置中缺少什么吗?我正在使用OSX并安装了rvm。 最佳答案 或者,您可以只使用“require”,它应该可以正常工作。我认为“require_relative”仅适用于ruby1.9+ 关于ruby-主要:Objectwhenrun
从给定URL下载文件并立即将其上传到AmazonS3的更直接的方法是什么(+将有关文件的一些信息保存到数据库中,例如名称、大小等)?现在,我既不使用Paperclip,也不使用Carrierwave。谢谢 最佳答案 简单明了:require'open-uri'require's3'amazon=S3::Service.new(access_key_id:'KEY',secret_access_key:'KEY')bucket=amazon.buckets.find('image_storage')url='http://www.ex
这个问题在这里已经有了答案:Checktoseeifanarrayisalreadysorted?(8个答案)关闭9年前。我只是想知道是否有办法检查数组是否在增加?这是我的解决方案,但我正在寻找更漂亮的方法:n=-1@arr.flatten.each{|e|returnfalseife