javascript - 验证重定向是否来自特定域的最安全方法是什么？

Question

我们当前的项目有一家合作伙伴公司想要重定向到我们的网站并继续我们网站上的旅程。他们将连同重定向一起发送登录用户的数据。

确保重定向来自特定域并且安全发送数据的最佳方法是什么。

我在考虑在查询字符串中使用 HTTP 引用 header 和加密数据吗？

Answer 1

along with encrypted data in the query string?

只有在客户端或原始服务器已经向您发送了解密所需的信息时才会安全地工作——如果客户端知道如何解密它，客户端就可以篡改数据，并篡改请求 header ，允许他们到达第二个站点，尽管他们不是来自第一个站点。 (是的，HTTP 引荐来源网址 can be forged. 通常，客户端所做的任何事情都是不可信的。)

执行此操作的安全方法是，当发件人站点确定可以授权经过身份验证的用户重定向到您的站点时，让发件人站点发送一个服务器- side 对您网站后端的请求，当然是加密的。您的后端可以将信息或 token 保存在数据库中，然后告诉原始站点请求已成功。然后原始站点可以与客户沟通，他们可以重定向到您的站点。当客户端访问您的站点时，在您的数据库中查找(加密的) token 以确保此类请求是在过去几秒钟内发出的，并且该 token 之前未被使用过。

设置所有跨站点通信确实需要一些努力，但一旦完成，您可以确定唯一允许的用户将获得原始站点的授权。