个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我正在使用 Go + gorilla/mux v1.4 框架开发一个 RESTful Web 应用程序。发布后的一些基本安全测试显示 Open URL Redirection应用程序中的漏洞,允许用户使用外部 URL 提交特制请求,导致服务器以 301 重定向响应。
我使用 Burp Suite 对此进行了测试并发现任何重定向到应用程序中外部 URL 的请求似乎都以 301 Moved Permanently 响应。我一直在寻找在发送 301 之前拦截这些请求的所有可能方法,但这种行为似乎是 be baked into the net/http server implementation .
这是发送到服务器的原始请求 (myapp.mycompany.com:8000):
GET http://evilwebsite.com HTTP/1.1
Accept: */*
Cache-Control: no-cache
Host: myapp.mycompany.com:8000
Content-Length: 0
HTTP/1.1 301 Moved Permanently
Location: http://evilwebsite.com/
Date: Fri, 13 Mar 2020 08:55:24 GMT
Content-Length: 0
最佳答案
这不是声称的开放 URL 重定向安全问题。此请求无效,因为路径包含的绝对 URL 与 Host 的域不同。标题。没有一个理智的客户端(即浏览器)可以被诱使首先发出这样一个无效的请求,因此没有实际的攻击向量。
当然,可以创建一个自定义客户端来提交这样的请求。但也可以使用自定义客户端以非标准方式解释服务器响应或直接访问恶意 URL,甚至无需联系您的服务器。这意味着在这种情况下,客户端本身将是问题,而不是服务器响应。
关于go - 阻止来自 gorilla/mux 的打开 URL 重定向,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60668000/
24
4
0
在围棋中,我尝试了简单的数据库连接。我需要进口大猩猩/MUX,但我不能。。我正在使用VS代码。在cd进入我的项目目录之后,我创建了main.go并运行了go get-u githorb.com/Gor
我得到 session ,来 self 曾经使用的 PHP 在服务器端设置一个或多个键及其值,并能够检索或覆盖它,直到 session 过期。 与 gorilla / session 相同 var(
在 Go 中,我尝试了简单的数据库连接。我需要导入 gorilla/mux ,但我做不到。 我正在使用 VS 代码。之后 cd转到我的项目目录,我创建了 main.go确实跑了go get -u gi
尝试使用 github.com/gorilla/mux 配置 go 服务器路由以响应所有带有 index.html 的请求,但排除扩展名为 .jpg|.js|.png 的请求 由于扩展名而被排除的静态
我从表格中收到日期。该日期具有特定格式“dd/mm/yyyy”。 为了将其解析为我的结构,我使用 gorilla/schema 包,但该包无法将接收到的数据识别为日期。 我如何解析日期并将其放入正确的
我有一个客户端的websocket代码看起来像这样 c, _, err := websocket.DefaultDialer.Dial("", nil) if err != nil {
我正在学习 Go 并遇到了 gorilla/mux 路由器。我想在文本文件中有动态路由,例如: /user/1/post/1 为此,我编写了以下代码: func (s *Server) RegRout
因此,我知道 Gorilla Mux 不支持可选的查询参数,人们建议使用查询参数创建不同的路由,从而使其更加牢固。但是在我的情况下,无法按预期的方式解析路线。 如果我调用/service/{local
我正在使用来自 gorilla websockets 的聊天应用程序示例,但我有一个问题,有时,当后端需要向客户端发送两条不同的消息时,它们只在一个消息事件中发送,这对我来说很糟糕,因为JSON.pa
我想通过 gorilla /websocket发送图像数据的字节,我当前的代码是: var b bytes.Buffer empty := bufio.NewWriter(&b) png.Encode
我正在访问一些我以前写的简单Web服务器的旧代码,并且我的请求模式不再起作用。我有一个初始化我的路线的函数,如下所示: func (a *App) InitializeRoutes() { a
我想创建一个/user 子路由器,如下所示 user := app.Router.PathPrefix("/user").Subrouter() user.HandleFunc("/create",
我尝试关闭连接手册(使用 Dark WebSocket Terminal ),但客户端告诉我 1005(无状态 Rcvd) 服务器: ReadLoop: for { mt, message,
我有以下代码: r := mux.NewRouter() r.HandleFunc("/", homeHandler) r.HandleFunc("/login", loginHandler) adm
请看下面我的代码。如您所见,这是一个具有两个端点的简单服务: /test <-- 使用中间件保护的基本身份验证 /static <-- 提供 ./static 目录中的所有文件 现在我也在尝试将基本身
// SetReadLimit sets the maximum size for a message read from the peer. If a // message exceeds the
我有以下路线: router.Methods("POST").Path("/my_post_01").HandlerFunc(myHandler1) router.Methods("GET").Pat
因此,我正在使用 Go 和 Gorilla Mux 开发一个简单的 RESTful API。我的第二条路线不工作时遇到问题,它返回 404 错误。我不确定问题出在哪里,因为我是 Go 和 Gorill
我正在 Golang 中构建一个与 Gorilla websockets 通信的网关。 我在 Ubuntu 16.04 上运行它,目前正在使用 .NET 控制台应用程序对其进行测试。 在 Window
我无法让 gorilla mux 工作.. 当请求 http://www.localhost:9000 时,Web 服务器返回 404 page not found 但这有效 http://local
我是一名优秀的程序员,十分优秀!