AJAX登录重定向到返回的URL(安全性)
我正在编写AJAX登录表单。提交时,它将登录数据发送到后端。如果登录有问题,将返回相应的响应。当登录数据有效时,后端为用户创建一个会话,并发回一个URL,用户应该重定向到该URL。我想返回URL,因为它会根据多个用户设置(语言、个人/业务等)而变化AJAX登录重定向到返回的URL(安全性),ajax,security,Ajax,Security,我正在编写AJAX登录表单。提交时,它将登录数据发送到后端。如果登录有问题,将返回相应的响应。当登录数据有效时,后端为用户创建一个会话,并发回一个URL,用户应该重定向到该URL。我想返回URL,因为它会根据多个用户设置(语言、个人/业务等)而变化 我是否忽略了这种方法的任何安全问题?当浏览器信任从AJAX调用返回的URL时,攻击者是否可能将用户重定向到恶意网站?否,这是通过异步处理程序处理登录的一种非常标准的方法(假设您是通过HTTPS执行此操作的,如果不是,则所有赌注都已取消) 是的,如果您
我是否忽略了这种方法的任何安全问题?当浏览器信任从AJAX调用返回的URL时,攻击者是否可能将用户重定向到恶意网站?否,这是通过异步处理程序处理登录的一种非常标准的方法(假设您是通过HTTPS执行此操作的,如果不是,则所有赌注都已取消) 是的,如果您允许攻击者设置重定向的位置,攻击者有可能重定向用户 因此,这意味着您应该验证要重定向的任何用户输入(因此可能是攻击者设置的)URL,以确保它们是安全的。基本上确保URL位于您的域中,并确保它是有效的URL。您可以更深入(检查XSS样式的攻击等),但只要您在应用程序的其余部分实践良好的安全实践,通常就不必这样做
但话说回来,这只是基本的应用程序安全性筛选。因此,过滤输入的URL,您应该会很好…所有这些,加上HTTPS以增加安全性