我的付款表单中有一个隐藏的输入:
<form action="<bank_api>">
<input type="number" name="amount" />
<input type="hidden" name="redirect_to" value="<current_url>" />
</form>
付款后我会这样用:
header("location: " . $_GET['redirect_to']);
一切正常,只是我感到安全问题:
用户只需在提交表单之前更改隐藏输入的值(设置其他网站的网址),然后在付款后重定向到该网站。看到?我的服务器会向另一个网站发送请求。没关系,或者我必须在重定向之前添加一些check-domain-name?
答案 0 :(得分:0)
将redirect_url存储在$ _SESSION中,并在表单提交后检索并删除它。