убедитесь, что скрытое поле не подвергает уязвимости в nodejs

Question

У меня есть это скрытое поле формы, которое отображается из nodejs:

<input type="hidden" name="currentUrl" value={currentUrl} />

Это поле предназначено для случаев, когда JavaScript отключен, и мне нужно знать, на какую страницу вернуться после публикации формы.

Я использую csruf , чтобы попытаться решить любые проблемы.

Как я могу защититься от хакеров, злоупотребляющих URL?

Answer 1

В этом случае вы должны быть обеспокоены открытым перенаправлением, и это не проблема на стороне клиента. Когда вы отправляете эту форму на ваш сервер, она будет перенаправлена ​​на указанный URL, если я правильно понимаю. Вы должны убедиться (на сервере), что URL-адрес указывает на ваше приложение (или другой разрешенный домен), прежде чем перенаправлять на него. Это уязвимость, если пользователь может отправить произвольный URL-адрес, куда он затем перенаправляется. Один из способов проверить URL-адрес - обработать его с помощью URL и проверить хост.

Также XSS может быть проблемой, но я думаю, что это должно быть уже смягчено механизмом шаблонов, который пишет {currentUrl}.