我想写一个url缩短服务。我试图想出那些危险的情景。 一个我想到的是如果提交的URL来自我自己的网站,它将创建一个无限的重定向循环。
你能想到其他任何情况吗? (安全漏洞,漏洞......)答案 0 :(得分:2)
不要试图想到“危险”场景,而是试着思考如何编写它而不会对自己造成任何风险,无论安全漏洞/漏洞是什么。
可能无法解决您最终遇到的所有问题,但却是避免问题的更好方法。
答案 1 :(得分:2)
你可能已经知道了,但我觉得有必要指出TinyURL这正是你要做的事情。
也就是说,除了您描述的明显无限重定向之外,确实没有太多可能出现的技术问题。更大的问题将是政治问题 - 人们将垃圾邮件,色情网站或恶意网站隐藏在网址后面,人们创建“有趣”的网址指向他们认为有趣的地方,等等。
看看the Wikipedia entry for TinyURL,了解他们遇到的问题。
答案 2 :(得分:1)
编写它以避免由安全漏洞引起的行为。对于您的示例,如果您在X时间段内从同一IP获得的请求数超过x个。
沿着这些方向思考将比试图预先阻止它们消除更多威胁。
答案 3 :(得分:0)
此类服务中的许多危险对您而言并不像您的服务用户那样危险。如果您搜索TinyURL和安全性,您会发现很多这样的事情:
http://www.readwriteweb.com/archives/tinyurl_being_used_to_bypass_safe_browsing_filters.php
我会对TinyURL和Bit.ly进行大量研究,看看他们是如何解决这些问题的。
就您自己的应用程序而言,所有标准的最佳实践都适用。验证输入,安全插入数据库等
答案 4 :(得分:0)
您可以随时查看是否来自您的服务。
如果您担心自己的网址是TinyURL,那么您可以随时关注该链接,如果它最终返回您的网站,请将其删除。