目前我的Java代碼使用如何解決開放重定向問題在Java
response.sendRedirect(request.getRequestUrl().toString());
這是一個開放的重定向。
我必須解決這個問題,但我不能白名單,因爲有太多的URL與它相關聯。
我試過ESAPI的下列解決方案,但它不會爲我工作。
ESAPI.httpUtilities().setCurrentHTTP(req, resp);
ESAPI.httpUtilities().sendRedirect(location);
ESAPI.httpUtilities().clearCurrent();
我是ESAPI的新手。
另請參閱OWASP的[未驗證重定向和轉發備忘](https://www.owasp.org/index.php/Unvalidated_Redirects_and_Forwards_Cheat_Sheet)和[重定向和轉發](https://www.owasp.org/index。 PHP/Redirects_and_forwards)。它太糟糕了凱文沃爾不會潛伏在堆棧溢出。他是ESAPI Java人員之一。 – jww
如果你說白名單是一個太大的問題,黑名單更糟。 – avgvstvs
我會監控它(但每週只有一次),並且我看到另一個ESAPI副主管(Matt Seil)已經回覆。 –