Sto sviluppando un'applicazione web PHP e sto implementando una funzionalità di reindirizzamento.
So che il reindirizzamento può essere pericoloso quando può essere impostato sul lato client e io uso ../../
come prefisso per il reindirizzamento.
È sufficiente per assicurarsi che sia possibile reindirizzare solo alle pagine interne? L'ho provato con $_POST['redirurl']
contenente elementi come http://www.evil.com
e ; http://www.evil.com
ma non lavorati.
È sicuro?
if(isset($_POST['redirurl'])){
$redir='Location: ../../'.$_POST['redirurl'];
header($redir);
}