我有一个隐藏的表单字段,它从nodejs:呈现
<input type="hidden" name="currentUrl" value={currentUrl} />
此字段用于禁用javascript时,并且我需要知道在发布表单后返回到哪个页面。
我正在使用csruf来尝试缓解任何问题。
如何防范黑客滥用网址?
在这种情况下,您应该关注开放重定向,这不是客户端的问题。当您将此表单发送到服务器时,如果我理解正确,它将重定向到所提供的url。在重定向到应用程序之前,您需要确保(在服务器上(url指向您的应用程序(或允许的其他域(。如果用户可以发送任意url,然后被重定向,这就是一个漏洞。验证url的一种方法是用url处理它并检查主机。
XSS也可能是一个问题,但我认为写{currentUrl}的模板引擎应该已经减轻了这个问题。