0
如果evilsite.com将表单提交给evilsite.com/foo,然后将307重定向到用户已登录的goodsite.com/bar,则会向POST发送包含cookies的cookie到goodsite.com/bar。人们如何防止307重定向
人们通常如何防范这一点? 做正常的webframeworks django /瓶做任何事情来防止这个?
我可以看到防范这两种方式:
- 把令牌到你的网页是与各种形式(不饼干)发送。 这看起来很多工作。
- 请看引用标题。但有一些浏览器插件可以阻止引用者,或者更糟的是只是假装引用者是目的地。而且我不确定这个引用标头的可靠程度。
我看到,stackoverflow确实总是在每种形式中都包含一个名为'fkey'的隐藏输入字段。 – yokto