我正在使用Ruby on Rails 4.1.1,我想接受一个redirect_path参数,以便在用户执行操作后重定向。我阅读OWASP documentation关于相关问题(网络钓鱼攻击),但我不明白。文档说明:
最基本但限制性的保护是使用:only_path 选项。将此设置为true将基本上剥离任何主机 信息。
redirect_to params[:url], :only_path => true
redirect_to params[:url], :only_path => true是否足以避免网络钓鱼攻击?可能还有其他陷阱?
答案 0 :(得分:0)
Brakeman提出了两种降低风险的策略:
only_path; URI.parse(some_url).path 在过去的项目中,我重写了那个助手,以确保没有人会不小心忘记#1的额外参数。