- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
我正在使用 Flask,我突然想到在登录/注销后通过简单地放置一个 session['next'] = request.url< 重定向回用户的最后一页可能是一个相当优雅的解决方案
在我的应用程序的每个端点,并让我的登录/注销功能直接重定向到 session.get('next')
。如果启用 USE_SESSION_FOR_NEXT,这甚至类似于 Flask-Login 扩展中的一个选项。
我想确认这是一个安全的工作流程,但我不精通安全,无法识别是否有任何方法可以欺骗 request.url,或者我是否仍应在重定向之前验证下一个 url,如此处指定:
这种方法没有得到更广泛部署的原因是什么?这似乎是一个很好、干净、简单的解决方案,可以保持 URL 的干净,最大限度地减少字段/处理,并在您不采取额外步骤验证下一个 URL 时消除开放重定向攻击的漏洞。有什么收获?
最佳答案
长话短说
这是一个安全的工作流程,假设您的服务器对所有安全资源的传入请求进行身份验证。
当您问“我是否仍应在重定向之前验证下一个 URL”时,答案是否定的,但您需要验证对该 URL 的所有请求(重定向后)以确保它们已登录。
在您的问题中,听起来您正试图对用户隐藏 url,直到他们登录为止。这不是必需的。
例如,假设您有两个网址:
url 1: "/login" # anyone can access this
url 2: "/secure_page" # only a logged in user can access this
假设用户未登录,并尝试导航到 yoursite.com/secure_page
。他们应该每次都被重定向到您的登录页面。如果他们知道 secure_page
url,那根本不会危及您的安全。事实上,他们一定已经知道那个 url,因为他们首先导航到那个页面,所以他们要么输入它,点击一个链接,要么它被保存在书签或浏览历史中。重要的是,当您处理对 secure_page
的请求时,您需要他们登录。
你问他们是否可以“欺骗”他们被重定向到的 url。他们不能,当你像那样将它保存在 session 中时。但是,他们可以在登录后点击他们想要的任何 url,因此他们是否“欺骗”该 url 并不重要。
因此,由于他们已经知道该 url,并且他们可以在登录后点击他们想要的任何 url,因此您无需对用户保密该 url。这样做的唯一好处是在美学上更简洁的 url。这就是为什么您会看到许多如下所示的登录页面:
http://yoursite.com/login?next=secure_page
那里发生的事情是他们将下一个 url 保存为 HTTP GET 参数。虽然它不太“干净”,但更明确,因此它有利有弊。如果他们稍后重新访问登录页面,将不再发生重定向,这可能是您想要的行为。使用您当前的代码,一旦重定向在 session 中,此后的下一次登录将遵循重定向直到 session 过期,这可能是在用户离开并且其他人使用该 Web 浏览器之后。
许多网站都按照我上面显示的方式进行操作。 Django does it that way .在这种情况下,恶意链接可能会提供“下一个”URL 并将其重定向到某个网络钓鱼站点,但可以通过确保“下一个”URL 不会离开您的域来轻松防止这种情况。
这是一个basic cheat sheet用于重定向/转发安全(您正在重定向,但其他登陆此处的人可能正在考虑转发请求)。
关于python - 将我的 'next' url 存储在签名的 cookie 中并无忧无虑地重定向到它是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43560155/
在我的主要组件中,我有: mounted() { window.$cookie.set('cookie_name', userName, expiringTime); }, 这会产生以下错误:
我正在学习 cookie,并且我想知道在编写依赖 cookie 来存储状态的 Web 应用程序时浏览器的支持情况。 对于每个域/网站,可以向浏览器发送多少个 Cookie,大小是多少? 如果发送并存储
我已经为我的站点设置了一个 cdn,并将其用于 css、js 和图像。 网站只提供那些文件 我的问题是 firefox 中的页面速度插件对于我的图片请求,我看到了一个 cookie Cookie fc
在阅读了 Internet 上的文档和帖子后,我仍然无法解决 jMeter 中的 Cookie Manager 问题。 我在响应头中得到了 sid ID,但它没有存储在我的 cookie 管理器中。
我正在 Node.JS 中处理一些类似浏览器的 cookie 处理,想知道从 NodeJS and HTTP Client - Are cookies supported? 开始对这段代码进行扩展到什
我正在此堆栈上构建自托管 Web 服务器:欧文南希网络 API 2 我正在使用 Katana 的 Microsoft.Owin.Security.Cookies 进行类似表单的身份验证。我得到了 Se
我有一个从另一个网站加载资源的网站。我已经能够确定: 第三方网站在用户的浏览器上放置 cookie。 如果我在浏览器设置中禁用第三方 cookie,第三方网站将无法再在浏览器上放置 cookie。 该
关闭。这个问题是off-topic .它目前不接受答案。 想改善这个问题吗? Update the question所以它是 on-topic对于堆栈溢出。 9年前关闭。 Improve this q
我正在使用 python mechanize 制作登录脚本。我已经读到 Mechanize 的 Browser() 对象将自动处理 cookie 以供进一步请求。 我怎样才能使这个 cookie 持久
我正在尝试在 www.example.com 和 admin.other.example.com 之间共享 cookie 我已经能够使其与 other.example.com 一起使用,但是无法访问子
我设置了一个域为 .example.com 的 cookie .它适用于我网站上的每个一级子域,应该如此。 但是,它不适用于 n 级子域,即 sub.subdomain.example.com和 to
我想让用户尽可能长时间地登录。 我应该使用什么? 普通 cookies 持久性 cookie 快闪 cookies ip地址 session 或这些的某种组合? 最佳答案 我认为 Flash cook
如果给定的 Web 服务器只能读取其域内设置的 cookie,那么 Internet 广告商如何从其网络外的网站跟踪用户的 Web 流量? 是否存在某种“supercookie”全局广告系统,允许广告
我知道一个 cookie 可以容纳多少数据是有限制的,但是我们可以设置多少个 cookie 有限制吗? 最佳答案 来自 http://www.ietf.org/rfc/rfc2109.txt Prac
如果我拒绝创建 cookie,则在我的浏览器中创建名称为 __utma、__utmb 等的 cookie。我认为这个 cookie 是用于谷歌分析的。任何人都知道谷歌如何创建这个 cookie,即使浏
我有一个生产环境和一个登台环境。我想知道我是否可以在环境之间沙箱 cookie。我的设置看起来像 生产 domain.com - 前端 SPA api.domain.com - 后端节点 分期 sta
我想知道浏览器(即 Firefox )和网站的交互。 当我将用户名和密码提交到登录表单时,会发生什么? 我认为该网站向我发送了一些 cookie,并通过检查这些 cookie 来授权我。 cookie
我在两个不同的域中有两个网络应用程序 WebApp1 和 WebApp2。 我在 HttpResponse 的 WebApp1 中设置 cookie。 如何从 WebApp2 中的 HttpReque
我正在使用Dartium“Version 34.0.1847.0 aura(264987)”,并从Dart创建一个websocket。但是,如果不是httpOnly,我的安全 session cook
我从 Headfirst Javascript 书中获取了用于 cookie 的代码。但由于某种原因,它不适用于我的浏览器。我主要使用chrome和ff,并且我在chrome中启用了本地cookie。
我是一名优秀的程序员,十分优秀!