1
如果從mysite.com https://www.mysite.com/http:%5C%5Cwww.Evilsite.com什麼是避免在django中打開重定向的最佳方式
以下重定向到evilsite.com我使用託管在使用Apache的mod_wsgi(最新版本)的Django 1.4
如果從mysite.com https://www.mysite.com/http:%5C%5Cwww.Evilsite.com什麼是避免在django中打開重定向的最佳方式
以下重定向到evilsite.com我使用託管在使用Apache的mod_wsgi(最新版本)的Django 1.4
的Django不能阻止所有打開的自動重定向攻擊。
作爲解決方法,Django提供了一個輔助函數django.utils.http.is_safe_url。在將URL傳遞給重定向函數之前,您需要手動檢查URL。不要實現你自己的功能。即使是django核心開發人員也沒有在第一時間正確實施它。檢查這security release。
參考:
Avoid open redirect issue with whitelist
Put protection against unsafe redirects into HttpResponseRedirectBase
感謝萊昂納多! –