pikachu 不安全的url重定向

 

1.不安全的url重定向（跳转）原理及演示

 

 

　　场景演示

 

 

　　随便测试一下

　　点其他的：

 

 

　　点第三个会进行跳转，跳转到概述页面。

 

 

　　我们在url处试一下，传个对应的url进去，传过去后台会对它进行跳转。

　　正常情况下应该是跳转到自己的页面（第三个那样的）

 

 

 

 

 

 　　跳转到了百度

 

　　我们也可以传一个自己的恶意站点的url进去。

 

　　查看一下后台代码

 

 　　通过GET请求获取前端传进来的url，判断一下，如果等于i,是这句话；不是，则跳转到url对应的地址去。这就存在着问题。

 

　　如果处理这种问题，我们要进行重定向，需要对url进行白名单的限制，如果不是，就跳转到自己的页面或者固定的网站。