1回答

繁花如伊

有（至少）两种方法可以解决这个问题，您可以一起使用或单独使用：解析收到的 URL 并检查其所有组成部分（方案、主机名、端口、路径、查询字符串等）是否包含您的应用程序通常生成的合理值，并且您相信这些值是无害的。特别是，只需检查该方案是否http和/或https足以阻止您问题中提到的特定攻击，尽管您几乎肯定应该做更多的验证，而不仅仅是这样。最初生成 URL 时，计算其加密消息身份验证代码（使用存储在服务器上且从未发送到客户端的密钥）并将其与 URL 一起发送。当您收到客户端返回的 URL 时，请验证 MAC 是否仍然匹配。这是一种通用技术，用于确保客户端应原样转发回服务器的值不被篡改。如果您有多个此类值，而不仅仅是一个 URL，您可以将它们全部编码为单个字符串，并计算所有这些值的单个 MAC。只需确保编码是确定性的，以便在验证 MAC 时可以准确地重复它。此外，您可能希望将其他元数据（例如用户 ID 和/或时间戳）组合到 MAC 输入中，以防止重放攻击。

0 0

0