Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Security 登录后重定向到未替换URL的安全影响_Security_Passport.js_Url Redirection_Url Encoding - Fatal编程技术网
Fatal编程技术网
  • security/
  • Security 登录后重定向到未替换URL的安全影响

Security 登录后重定向到未替换URL的安全影响

security

Security 登录后重定向到未替换URL的安全影响,security,passport.js,url-redirection,url-encoding,Security,Passport.js,Url Redirection,Url Encoding,我们是否需要取消浏览我们从用户应用程序接受的URL,以便重定向到(例如,如果登录成功,如本问题中所述)?是否存在其他安全漏洞 更长的问题(代码审查):- 在我的webapp上实现facebook登录(使用passportjs)时,我遇到了一个小型中间件函数的以下实现,该函数在会话中设置返回URL function checkReturnTo(req, res, next) { var returnTo = req.query['returnTo']; if (returnTo) {

我们是否需要取消浏览我们从用户应用程序接受的URL,以便重定向到(例如,如果登录成功,如本问题中所述)?是否存在其他安全漏洞

更长的问题(代码审查):-

在我的webapp上实现facebook登录(使用passportjs)时,我遇到了一个小型中间件函数的以下实现,该函数在会话中设置返回URL

function checkReturnTo(req, res, next) {
  var returnTo = req.query['returnTo'];
  if (returnTo) {
    req.session.returnTo = querystring.unescape(returnTo);
  }
  next();
}
如果我不取消浏览上面的“returnTo”url怎么办

req.session.returnTo = returnTo;
代码在这两种情况下都可以正常工作。我试图用谷歌搜索,但通过重定向URL找不到任何具体的漏洞。我想这是一个好问题。

确实有,但是逃避URL与它们无关

通常,如果您的框架已经正确地提取并取消了URL参数,则无需再次取消它们的取消扫描(当然,除非出于某种原因,生成登录URL的代码冗余地双重转义重定向URL)。但是,我对您使用的框架并不特别熟悉,因此我不能确定是否出于某种奇怪的原因需要一个框架