Se qualcuno accede a una pagina protetta mentre è disconnesso, verrebbe reindirizzato a una pagina di accesso:
/login?next=/something/123/manage?sort=desc
Se il login è andato a buon fine, dovrebbero essere reindirizzati alla pagina che intendevano visualizzare:
if verify_creds(user, password):
login(user)
return redirect(request.args['next'])
Come verificare che un utente malintenzionato non possa utilizzare il parametro successivo per visitare un sito di phishing? È sufficiente controllare se il prossimo inizia con /
, cioè un link relativo o dovrei provare a verificare se è un percorso valido nella mia applicazione?