【问题标题】:Clarifications about OWASP documentation for user redirection by using parameters关于使用参数进行用户重定向的 OWASP 文档的说明
【发布时间】:2015-02-03 23:59:09
【问题描述】:

我正在使用 Ruby on Rails 4.1.1,我想接受 redirect_path 参数,以便在用户执行操作后重定向用户。我阅读了有关相关问题(网络钓鱼攻击)的OWASP documentation,但我不明白一些事情。文档指出:

最基本但限制性的保护是使用 :only_path 选项。将此设置为 true 将实质上剥离任何主机 信息。

redirect_to params[:url], :only_path => true

redirect_to params[:url], :only_path => true 是否足以避免网络钓鱼攻击?可能还有其他陷阱?

【问题讨论】:

标签: ruby-on-rails ruby security ruby-on-rails-4 owasp


【解决方案1】:

Brakeman 提出了两种降低风险的策略:

  1. 像你一样使用only_path
  2. 解析重定向 URL 以手动提取路径URI.parse(some_url).path

在过去的项目中,我重写了该助手,以确保没有人会意外忘记 #1 的额外参数。

【讨论】:

猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2014-04-14
  • 1970-01-01
  • 2021-08-14
  • 2018-11-05
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多