安科网

Flask 重定向问题:若没有对URL进行安全验证

bestallen

bestallen

2019-12-07

关注 关注

一个fooo视图,一个barrr视图。通过点击视图里的链接,进行一些操作之后,返回fooo或barrr路由。

@app.route('/fooo')
def fooo():
    return '<h1>Fooo Page</h1><a href="%s">Do somethinggg</a>' % url_for('do_somethinggg', next=request.full_path)

@app.route('/barrr')
def barrr():
    return '<h1>Barrr Page</h1><a href="%s">Do somethinggg</a>' % url_for('do_somethinggg', next=request.full_path)

@app.route('/do_somethinggg')
def do_somethinggg():
    print('------do somethinggg------')
    print(request.referrer)
    # 方法一:查询request.referrer获取重定向位置
    return redirect(request.referrer or url_for('hello'))
    # 方法二:查询参数获取重定向位置
    return redirect(request.args.get('next'))

点击 URL:127.0.0.1:5000/fooo中的链接实现重定向,如下:
Flask 重定向问题:若没有对URL进行安全验证
链接的相对URL:/do_somethinggg?next=%2Ffooo%3F
如果我在地址栏中输入:http://127.0.0.1:5000/do_somethinggg?next=/
则会跳转到URL:http://127.0.0.1:5000/
导致开放重定向漏洞(Open Redirect)

重定向 flask url url重定向

bestallen

bestallen

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

小程序定制开发WEB服务器-设置网站301全站跳转(域名301重定向)

导读:今天给大家分享小程序定制开发网站的301全站跳转或域名301重定向。WEB服务器zhaowucc.cn 301全站跳转的操作过程分2步分详细给大家作讲解。名词解释301重定向:是一种非常重要的“自动转向”技术,是SEO中常用的一种技术,在网站改版、更

服务器端攻城师 2020-05-04

Nginx的location匹配规则-根据url 路径重定向到不同的IP

使用CAS登录的过程中会涉及到三次重定向,如果在同一个局域网内,是没有任何问题的,但如果涉及到跨网访问就有问题了。通过Nginx对要访问的系统进行代理,把响应头中的重定向Location的地址改成外网能访问到的IP,实现跨网访问。如果请求匹配这个locat

咻咻ing 2020-01-11

6张图带你学懂 Kubernetes Ingress

Kubernetes Ingress 只是 Kubernetes 中的一个普通资源对象,需要一个对应的 Ingress 控制器来解析 Ingress 的规则,暴露服务到外部,比如 ingress-nginx,本质上来说它只是一个 Nginx Pod,然后将

朱培知浅ZLH 2020-11-16

CentOS 8 Apache 安装后 SSL 重定向提示证书错误

在启用 SSL 后,我们也希望将主域名重定向到 www。如果我们按照 80 端口的 http 配置的,你可能会得到浏览器的安全配置。这是因为如果你在 HTTPS 的 SSL 中也这样配置是不允许的。因为这个可能会导致安全性问题和攻击。简单来说,出现这个问题

Junzizhiai 2020-10-10

Linux后台执行命令:&与nohup的用法

大家可能有这样的体验:某个程序运行的时候,会产生大量的log,但实际上我们只想让它跑一下而已,log暂时不需要或者后面才有需要。所以在这样的情况下,我们希望程序能够在后台进行,也就是说,在终端上我们看不到它所打出的log。为了实现这个需求,我们介绍以下几种

zhangbingb 2020-09-21

Web项目的WEB-INF目录使用说明以及重定向与转发

WEB-INF下面的内容都是只能由服务器级别才能访问,客户端并不能访问。转发就是服务器级别,浏览器的地址不会变,因为,客户端发送一个请求,服务器受理之后,发现要请求内容还要再去别的请求,那么转发就是服务器自己去处理完成。不麻烦客户端(浏览器)了,所以客户端

ROES 2020-08-17

linux重定向及nohup不输出的方法

先说一下linux重定向:0、1和2分别表示标准输入、标准输出和标准错误信息输出,可以用来指定需要重定向的标准输入或输出。这样标准输出还是在屏幕上,但是错误信息会输出到log文件中。Linux下还有一个特殊的文件/dev/null,它就像一个无底洞,所有重

ningningmingming 2020-07-28

Linux重定向用法详解

大家好,我是良许。答案是肯定的,那就是重定向。重定向是一种高效的方法,无需大量的鼠标与键盘操作就可以完成数据的转移。重定向可以分为输入重定向以及输出重定向这两种类型。由于所有程序都有输入或者输出,因此输入和输出的重定向是任何编程语言或脚本语言都自带的功能。

Jiajinjin 2020-07-27

shell其他

  这样,本来需要从键盘获取输入的命令会转移到文件读取内容。标准错误文件:stderr的文件描述符为2,Unix程序会向stderr流中写入错误信息。默认情况下,command > file将 stdout 重定向到 file,command <

懒人的小窝 2020-07-04

第十一节:IdentityServer4授权码模式介绍和代码实操演练

  授权码模式是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。用户访问客户端,后者将前者导向认证服务器。假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定

wykpaopao 2020-06-28

shell脚本在后台运行以及日志重定向输出

Linux默认定义两个变量:1和2;其中 cmd > out.log & 和 cmd 1 > out.log & 是一样的,如果想忽略某个输入,则输出到 /dev/null 设备即可。但是这种后台xshell窗口在退出ssh登录

lishaokang 2020-06-12

【Windows学习】解决python无法访问win64系统drivers目录重定向文件问题

#!/usr/bin/env python. self.success = self._disable(ctypes.byref(self.old_value)). if os.path.exists(r‘C:\Windows\System32\drive

Greatemperor 2020-06-10

django 之redirect()函数全解

一个绝对的或相对的URL, 将原封不动的作为重定向的位置.默认返回一个临时的重定向, 传递permanent=True可以返回一个永久的重定向.示例:你可以用多种方式使用redirect()函数.传递一个具体的ORM对象.将调用具体ORM对象的get_ab

谢育政 2020-05-27

linux 重定向

与 Unix 主题“任何东西都是一个文件”保持一致,程序,比方说 ls,实际上把他们的运行结果 输送到一个叫做标准输出的特殊文件,而它们的状态信息则送到另一个 叫做标准错误的文件。默认情况下,标准输出和标准错误都连接到屏幕,而不是 保存到磁盘文件。除此之外

wanggongzhen 2020-05-26

Linux nohup命令原理及实例解析

在应用Unix/Linux时,我们一般想让某个程序在后台运行,于是我们将常会用 & 在程序结尾来让程序自动运行。可是有很多程序并不想mysqld一样,这样我们就需要nohup命令。nohup命令可以将程序以忽略挂起信号的方式运行起来,被运行的程序的

ITlover00 2020-05-07

Linux就该这么学丨必备Linux命令(二)

  1)tar -czvf etc.tar.gz /etc.   2)tar -xzvfetc.tar.gz -C /root/etc.   1)grep -n boot /etc/haha.txt. f2:匹配比文件f1新但比f2旧的文件。  --typ

zhongcanw 2020-05-08

阿里P8架构师谈:数据库、JVM、缓存、SQL等性能调优方法和原则

性能优化基本是BAT等一线互联网公司程序员必备的技能,以下为大家完整揭晓性能完整的优化方案和方法:包含web网站调优、数据库、JVM调优、架构调优等方案。这一条要灵活运用,把js和css提取出来放在外部文件的优点是:减少html体积,提高了js和css的复

DAV数据库 2020-05-07

把GCC的编译信息重定向到一个文件

最近在Linux下进行编程,很多写好的代码要进行编译。在链接很多文件的时候,经常会出现很多的错误,而Linux下终端显示是有限的,因此每次调试的时候如果错误太多就会很不方便。如果使用简单的管道重定向如下:。这种方式是不行的。我上网找相关的方法,发现很多人在

ningningmingming 2020-05-01

测试公开课资料系列01--Fiddler之AutoResponse在线调试利器

做的技艺来自做的过程。在Fiddler的AutoResponder页签设置匹配规则,服务器返回的数据先返回到Fiddler上,返回的数据如果和设置的匹配规则匹配成功,则自动根据设置的后续动作进行返回到客户端。Unmatched requests passt

yuleng测试赛 2020-04-11

十二、Shell篇——管道与重定向

管道和信号一样,也是进程通信的方式之一匿名管道(管道符)是Shell编程经常用到的通信工具管道符是“|”,将前一个命令执行的结果传递给后面的命令。cat和ps都是外建命令,管道符会为这两条命令建立一个子进程,外建命令是以子进程的方式运行的。由于内建命令执行

tvk 2020-04-06
bestallen

bestallen

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号