Evita reindirizzamenti

Naviga le tue risposte
0

Sto lavorando su un sito in cui gli utenti possono inserire URL.

Gli URL dovrebbero puntare a siti in cui è possibile acquistare un oggetto (per compleanno / evento speciale /...)

Invia anche messaggi di posta elettronica agli indirizzi e-mail forniti dall'utente.

Ora vorrei valutare quanto questo sia pericoloso e, se possibile, mitigare l'infondatezza. (È un progetto per hobby, se è troppo pericoloso lo abbandonerò)

Sono principalmente interessato agli URL.

Posso immaginare che non sia impossibile trovare un posto in un negozio online in cui viene emesso un reindirizzamento (e in cui un utente malintenzionato potrebbe inserire un URL personalizzato).

È sicuro accettare solo URL (dati sul mio sito) che rispondono con un codice http 200? (in altre parole, ogni reindirizzamento che non viene rilasciato da javascript è possibile solo se il codice di ritorno http è diverso da 200?)

    
posta Bamboomy 15.02.2018 - 09:40
fonte

1 risposta

2

does every redirect which is not issued by javascript only possible if the http return code is different from 200?)

Hai reindirizzamenti HTTP con codice di stato 30x. Quindi hai reindirizzamenti basati su script. E poi hai degli aggiornamenti, che possono essere sia all'interno dell'header HTTP o all'interno dell'HTML, vedi qui per esempi per entrambe le varianti.

A parte questo, solo perché un sito ha restituito il codice di stato 200 una volta che non puoi presumere che restituirà questo codice per sempre e lo aggiungerà all'elenco degli URL sul tuo sito.

E anche se un sito restituisce 200, potrebbe incorporare contenuti dannosi, attualmente o forse in futuro o solo per visitatori specifici.

    
risposta data 15.02.2018 - 09:46
fonte

Leggi altre domande sui tag

Come posso sbloccare l'unità senza la password o la chiave di ripristino di Bitlocker? [duplicare] Bitlocker senza privilegi di amministratore