मेरे पास यह छिपा हुआ फॉर्म फ़ील्ड है जो नोडज से प्रस्तुत किया गया है:

<input type="hidden" name="currentUrl" value={currentUrl} />

यह फ़ील्ड तब है जब जावास्क्रिप्ट अक्षम है और मुझे यह जानने की जरूरत है कि फॉर्म पोस्ट करने के बाद किस पेज पर वापस जाना है।

मैं csruf का उपयोग किसी भी समस्या को दूर करने के लिए कर रहा हूं।

मैं यूआरएल का दुरुपयोग करने वाले हैकर्स से कैसे बचाव कर सकता हूं?

0
dagda1 12 नवम्बर 2018, 11:30

1 उत्तर

सबसे बढ़िया उत्तर

आपको इस मामले में खुले पुनर्निर्देशन के बारे में चिंतित होना चाहिए, और यह क्लाइंट-साइड समस्या नहीं है। जब आप इस फॉर्म को अपने सर्वर पर भेजते हैं, तो यह आपके द्वारा दिए गए यूआरएल पर रीडायरेक्ट करेगा यदि मैं सही ढंग से समझता हूं। आपको यह सुनिश्चित करने की आवश्यकता है (सर्वर पर) कि यूआरएल आपके आवेदन (या एक अनुमत अन्य डोमेन) पर रीडायरेक्ट करने से पहले इंगित करता है। यह एक भेद्यता है यदि कोई उपयोगकर्ता एक मनमाना यूआरएल भेज सकता है जहां वह पुनर्निर्देशित हो जाता है। यूआरएल को सत्यापित करने का एक तरीका यह होगा कि इसे URL से प्रोसेस किया जाए और होस्ट की जांच की जाए।

इसके अलावा एक्सएसएस एक मुद्दा हो सकता है, लेकिन मुझे लगता है कि इसे पहले से ही टेम्पलेट इंजन द्वारा कम किया जाना चाहिए जो {currentUrl} लिखता है।

1
Gabor Lengyel 12 नवम्बर 2018, 09:30