人们如何防范307重定向

时间:2017-06-07 06:54:26

标签: http security redirect web browser

如果evilsite.com向evilsite.com/foo提交表单,然后307重定向到用户已登录的goodsite.com/bar,则会将带有商品cookie的POST发送到goodsite.com/bar。< / p>

人们通常如何防范这种情况? 正常的webframeworks django / flask做了什么来防止这种情况吗?

我可以看到两种防范方法:

  1. 在每个表单(不是cookie)发送的页面中放入一个令牌。 这似乎很多工作。
  2. 查看引荐来源标头。但是有一些浏览器插件会抑制引用者,或者更糟糕的是假装目标是引用者。我不确定这个引用标题的可靠性如何。

1 个答案:

答案 0 :(得分:0)

它被称为CSRF。您应该使用反CSRF令牌来防止此类漏洞。所有现代框架都可以处理它。

相关问题
最新问题