我正在使用symfony2.3.1应用程序,我遇到了无效的HTTP请求转发问题。我很困惑,我怎么能解决这个问题。我是否需要在apache2服务器中配置,或者我应该在symfony2应用程序中执行某些操作。
问题是用户通过我的应用程序的Web代理服务器向任何远程Web服务器发送恶意请求。 我的应用程序将充当Web代理,看起来好像攻击来自此应用程序而不是攻击者的客户端。
请帮助!!
答案 0 :(得分:1)
取自owasp.org:
如何防止“未经验证的重定向和转发”?
可以通过多种方式安全使用重定向和转发:
- 只需避免使用重定向和转发。
- 如果使用,请不要在计算目的地时涉及用户参数。通常可以这样做。
- 如果无法避免目标参数,请确保提供的值有效且已获得用户授权。
建议任何此类目标参数都是映射值,而不是URL的实际URL或部分,并且服务器端代码将此映射转换为目标URL。
解决问题的关键是最后一句话。使用这样的地图可以让您完全控制重定向/转发的内容以及不重定向的内容。