我有一组节点服务,其中一个处理身份验证。所有服务都将未经过身份验证的用户重定向到auth服务上的登录页面,要么在请求正文中设置属性,要么在地址中设置参数,以便可以将它们重定向回登录后的位置。 e.g。
https://mydomain.com:1234/auth/login?referer=https://mydomain.com:1235/usefulService
验证登录后,我执行了res.redirect(referer)。
我的问题是,是否有一种简单的方法可以检查开放重定向是否被滥用?
https://mydomain.com:1234/auth/login?referer=http://www.evildoer.com/fake/usefulService
我只希望将用户重定向到我控制的服务 - 这些服务都具有相同的ip / domain + subdomain,但会有不同的端口号。