pikachu 不安全的url重定向
1.不安全的url重定向(跳转)原理及演示
场景演示
随便测试一下
点其他的:
点第三个会进行跳转,跳转到概述页面。
我们在url处试一下,传个对应的url进去,传过去后台会对它进行跳转。
正常情况下应该是跳转到自己的页面(第三个那样的)
跳转到了百度
我们也可以传一个自己的恶意站点的url进去。
查看一下后台代码
通过GET请求获取前端传进来的url,判断一下,如果等于i,是这句话;不是,则跳转到url对应的地址去。这就存在着问题。
如果处理这种问题,我们要进行重定向,需要对url进行白名单的限制,如果不是,就跳转到自己的页面或者固定的网站。