e.g。如果以下内容从mysite.com重定向到evilsite.com https://www.mysite.com/http:%5C%5Cwww.Evilsite.com
我使用mod_wsgi(最新版本)
在apache上使用django 1.4答案 0 :(得分:2)
Django无法自动阻止所有开放重定向攻击。
作为一种解决方法,Django提供了一个辅助函数django.utils.http.is_safe_url。在将url传递给重定向函数之前,您需要手动检查URL。不要实现自己的功能。即使是django核心开发人员也没有在第一时间正确实现它。请检查此security release。
参考:
Avoid open redirect issue with whitelist
Put protection against unsafe redirects into HttpResponseRedirectBase