在删除 URL 个引荐来源网址时阻止 URL 黑客攻击
Blocking URL hacking when URL referrer is stripped
我有一段代码可以通过检查 URL 引荐来源
来防止 URL 入侵页面
if (filterContext.RequestContext.HttpContext.Request.UrlReferrer == null)
{
// redirect somewhere else
}
理想情况下,只需更改 ID 即可阻止某人查看记录详细信息页面(因此,persons/1、persons/2 等)
现在如果引荐来源网址没有被浏览器剥离就没问题,但如果被剥离了怎么办。有解决办法吗?
我正在使用 C# MVC
对此没有解决方法,它存在或不存在,但 url ref 并不是一种安全机制。它很容易伪造。如果您唯一担心的是 URL 劫持,那么您可以做的最简单的改变就是将您的 ID 字段更改为唯一标识符 (Guid),这样用户就不能只将增量数字附加到您的 url。
我有一段代码可以通过检查 URL 引荐来源
来防止 URL 入侵页面if (filterContext.RequestContext.HttpContext.Request.UrlReferrer == null)
{
// redirect somewhere else
}
理想情况下,只需更改 ID 即可阻止某人查看记录详细信息页面(因此,persons/1、persons/2 等)
现在如果引荐来源网址没有被浏览器剥离就没问题,但如果被剥离了怎么办。有解决办法吗?
我正在使用 C# MVC
对此没有解决方法,它存在或不存在,但 url ref 并不是一种安全机制。它很容易伪造。如果您唯一担心的是 URL 劫持,那么您可以做的最简单的改变就是将您的 ID 字段更改为唯一标识符 (Guid),这样用户就不能只将增量数字附加到您的 url。