Q&A
試せることは自分で試しましょう。
それでわからなければ質問してください。
オープンリダイレクトの脆弱性は、ユーザからの入力値をリダイレクト先(外部サイト)に使用することによって成り立つということを最近勉強しました。
そこで、一つ思ったのですが、フォワードについてはどうなのでしょうか? 例えばユーザからページ番号を受け取り、それに基づいてサイト内でリクエストをフォワードするような仕組みにしているとき、サイト内の移動なのだからオープンリダイレクトのような問題はないと言えるのでしょうか?
> ユーザからの入力値を...使用することによって成り立つ
をご理解されているのならお分かりのはずです.
回答1件
0
ベストアンサー
オープンリダイレクトの問題は、リダイレクト先に指定するリクエストパラメータの検証をせず任意のURLへ遷移してしまうことです。利用者がリダイレクト先に偽のURLを指定したリンクをアクセスしたとき、利用者は正規のサイトへのアクセスにも関わらず偽のURLへリダイレクトしてしまうことが問題です。
これはサーブレットのフォワードには適用できません。
理由として、サーブレットで使われるRequestDispatcher#forward は / から始まらなければランタイム例外をスローしますので、同一のコンテキストないしはドメインへの遷移以外は不可能です。
ただし遷移するURLのパラメータを検証せずにそのままフォワードさせてしまうのは非常に危うい作りになります。
投稿2019/04/28 13:44
総合スコア12011
あなたの回答
tips
プレビュー
