Возможно ли для хакера принудительное перенаправление с данного домена?

Question

У меня есть раздел на моем сайте, который позволяет пользователям загружать ссылку в своем профиле в свою учетную запись MySpace.Чтобы защитить других пользователей, я хочу жестко закодировать доменное имя (www.myspace.com/) и добавить пользовательские (очищенные) входные данные.Для меня это кажется довольно безопасным и гарантирует, что он всегда идет на MySpace.com.Однако есть ли способ, которым злоумышленник может добавить в конец тег «www.myspace.com», который перенаправит его на другой сайт?Или, поскольку доменное имя жестко закодировано, что-либо добавленное после этого просто приведет к ошибке 404?

Спасибо

Answer 1

Во-первых, вы должны дезинфицировать вход (как вы заметили). Предполагая, что вы это сделаете, тогда, если домен жестко запрограммирован, ссылка будет переходить на серверы на myspace.com, и myspace.com будет делать правильные действия, возможно, с некорректным вводом. Но он не будет перехвачен в другой домен.

Если вы не выполните санитарную обработку, пользователь может ввести что-то вроде

myname" onclick="do_evil_stuff...">...

и это может перехватить ссылку.