0
目前我正在發送整個URL作爲參數,以便能夠從我開始的位置返回到同一頁面。將整個網址作爲參數發送有沒有安全風險?
<a href="{% url 'bom_edit' pk=field1.id uri=request.build_absolute_uri %}">Edit</a>
這樣做有什麼安全隱患嗎?
目前我正在發送整個URL作爲參數,以便能夠從我開始的位置返回到同一頁面。將整個網址作爲參數發送有沒有安全風險?
<a href="{% url 'bom_edit' pk=field1.id uri=request.build_absolute_uri %}">Edit</a>
這樣做有什麼安全隱患嗎?
你可以只發送路徑:
<a href="{% url 'bom_edit' pk=field1.id uri=request.path %}">Edit</a>
是的,但有發送路徑和從安全的角度來看,整個事情與紐約不同? –
只發送路徑,確保重定向到您自己的站點,如果您拒絕代碼以接收完整的url並重定向到它,則可以使用外部主機url調用它。 – Gocht
「A *安全*觀點?」不,可能不是。但是,我認爲Goht所建議的是: 「如果您不打算*去其他地方,'不要*在其他地方提及*''」如果有人正在查看您的HTTP代碼網頁,這是一個好主意(恕我直言),網址應該*相對*,除非有令人信服的理由讓他們*絕對*。 「給他們他們的期望。」 –