In che modo il "post / redirect / get pattern" migliora la sicurezza?

3

In che modo lo schema "post / redirect / get" (PRG) migliora la sicurezza? Vedo il principio della "conferma attraverso la ridondanza" in gioco, ma non capisco come potrebbero controbilanciare i rischi.

Come sviluppatore di rete, vedo un'opportunità per qualcuno di dirottare la richiesta o eseguire altri tipi di attacchi man-in-the-middle. Se il tuo sito non è caricato su HTTPS o non richiede l'uso di cookie, come potrebbe essere consentito? link

    
posta Rob Truxal 19.05.2017 - 21:48
fonte

1 risposta

4

È principalmente un problema di usabilità e non un problema di sicurezza.

POST-REDIRECT-GET (RPG) serve per impedire al client di inviare lo stesso modulo 2 volte per errore quando tenta di ricaricare la pagina, ad esempio.

Inoltre, se il client tenta di navigare verso una pagina precedente che è un POST, il browser visualizzerà spesso una pagina vuota che è un'esperienza utente scadente. Aggiungendo REDIRECT-GET, non otterrai questo problema con la pagina bianca.

Non penso che sia correlato in alcun modo alla sicurezza dell'applicazione in quanto non ti consente di fare qualcosa che non dovresti fare se usi solo il POST.

Nota

Sembra che tu ti preoccupi dell'attacco Man-in-the-middle e richiedi un dirottamento, ma se hai questo tipo di problemi è già game over RPG o no. Quindi, se queste cose sono il problema, ti suggerisco di usare https.

    
risposta data 19.05.2017 - 22:16
fonte

Leggi altre domande sui tag