开放重定向（反映）

描述：开放重定向（反映）

当应用程序以不安全的方式将可控制的数据合并到重定向的目标中时，就会出现开放重定向漏洞。攻击者可以在应用程序中构造一个URL，该URL导致重定向到任意外部域。可以利用此行为来促进对应用程序用户的网络钓鱼攻击。使用真实的应用程序URL，针对正确的域以及使用有效的SSL证书（如果使用SSL）的能力，则可以对网络钓鱼攻击表示信誉，因为许多用户，即使验证这些功能，也不会注意到后续重定向到一个不同的域。

修复：开放重定向（反映）

如果可能的话，应用程序应避免将可控制的数据纳入重定向目标。在许多情况下，可以通过两种方式避免这种行为：

从应用程序中删除重定向函数，并用直接链接替换到相关目标URL的链接。
维护允许重定向的所有URL的服务器端列表。而不是将目标URL作为参数传递给重定向器，而是将索引传递到此列表中。

如果重定向函数不可避免地接收可控制用户的输入并将其纳入重定向目标，则应使用以下措施之一来最大程度地减少重定向攻击的风险：

该应用程序应在其所有重定向中使用相对URL，并且重定向函数应严格验证收到的URL是相对URL。
该应用程序应将相对于Web根的所有重定向使用URL使用，并且重定向函数应验证收到的URL以斜杠字beplay体育能用吗符开始。然后，它应在发布重定向之前，将http://yourdomainname.com预付给URL。
该应用程序应将绝对URL用于其所有重定向，并且重定向函数应验证用户提供的URL是否以http://yourdomainname.com/开头，然后发出重定向。