【发布时间】:2015-02-03 23:59:09
【问题描述】:
我正在使用 Ruby on Rails 4.1.1,我想接受 redirect_path 参数,以便在用户执行操作后重定向用户。我阅读了有关相关问题(网络钓鱼攻击)的OWASP documentation,但我不明白一些事情。文档指出:
最基本但限制性的保护是使用 :only_path 选项。将此设置为 true 将实质上剥离任何主机 信息。
redirect_to params[:url], :only_path => true
redirect_to params[:url], :only_path => true 是否足以避免网络钓鱼攻击?可能还有其他陷阱?
【问题讨论】:
-
OWASP 页面实际上是错误的。请阅读brakemanscanner.org/docs/warning_types/redirect 以获取更新的建议(或使用 Frank 的其他代码)。
标签: ruby-on-rails ruby security ruby-on-rails-4 owasp