アカウント名:
パスワード:
特定のパラメーターが無かったら、パラメーター付きのURLにリダイレクト(HTTPリダイレクトやJavaScriptでのリダイレクト)するというのは、よくある設計なんですね。ところが、ブラウザー側でそれを排除されてしまったら、リダイレクトがルーピングしてしまうんです。HTTPリダイレクトならばモダンなブラウザーはリダイレクトを10回ぐらい?ループさせるとルーピング検知で止まりますけど、JavaScriptだと止まりません。
そうなるとDoS状態になって、DoS対策をしていないサイトでデータベース処理が重いページだったりするとデータベースサーバーの同時接続数を使い果
特定パラメーターを除去する機能が搭載されるだけなら、目的地に行けずにパラメーター不備時のリダイレクト先に飛ぶだけじゃないの?
ループが発生するのは、そのリダイレクト先でもパラメーターチェックしてパラメーター付与した状態でリダイレクトページに再度誘導した場合だけじゃない?
それは閲覧者の責任じゃなくサイト設計者の責任なのでは
多言語化されたページで「lang」というパラメーターが無かったら、HTTPヘッダーのaccept-languageとかジオロケーションに基づいてパラメーターを付けたURLにリダイレクトする設計になっていて、仮にブラウザーが lang を除去し続けたら無限リダイレクトします。
https://it.srad.jp/story/22/07/03/0344250/ [it.srad.jp] にアクセス ↓ https://it.srad.jp/story/22/07/03/0344250/?lang=ja [it.srad.jp] にリダイレクト
https://it.srad.jp/story/22/07/03/0344250/?lang=en [it.srad.jp] にアクセス ↓そのまま
普通にユー
今回のではそうならないように手が打たれているから問題ないね# 結局クエリ削れてないんだから追跡される点は問題だろと言えるんかもしれんけど閲覧上は問題にならない
Firefoxみたいなアプリにこんな素人がすぐ思いつくような穴が残ってると思えるのがすごいわ自分が世界一賢いと素で思ってるんだろうな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
リダイレクトがルーピングするリスク有り (スコア:2, 参考になる)
特定のパラメーターが無かったら、パラメーター付きのURLにリダイレクト(HTTPリダイレクトやJavaScriptでのリダイレクト)するというのは、よくある設計なんですね。
ところが、ブラウザー側でそれを排除されてしまったら、リダイレクトがルーピングしてしまうんです。
HTTPリダイレクトならばモダンなブラウザーはリダイレクトを10回ぐらい?ループさせるとルーピング検知で止まりますけど、JavaScriptだと止まりません。
そうなるとDoS状態になって、DoS対策をしていないサイトでデータベース処理が重いページだったりするとデータベースサーバーの同時接続数を使い果
Re: (スコア:1)
特定パラメーターを除去する機能が搭載される
だけなら、目的地に行けずにパラメーター不備時のリダイレクト先に飛ぶだけじゃないの?
ループが発生するのは、そのリダイレクト先でもパラメーターチェックして
パラメーター付与した状態でリダイレクトページに再度誘導した場合だけじゃない?
それは閲覧者の責任じゃなくサイト設計者の責任なのでは
Re: (スコア:0)
多言語化されたページで「lang」というパラメーターが無かったら、HTTPヘッダーのaccept-languageとかジオロケーションに基づいてパラメーターを付けたURLにリダイレクトする設計になっていて、仮にブラウザーが lang を除去し続けたら無限リダイレクトします。
https://it.srad.jp/story/22/07/03/0344250/ [it.srad.jp] にアクセス
↓
https://it.srad.jp/story/22/07/03/0344250/?lang=ja [it.srad.jp] にリダイレクト
https://it.srad.jp/story/22/07/03/0344250/?lang=en [it.srad.jp] にアクセス
↓
そのまま
普通にユー
Re:リダイレクトがルーピングするリスク有り (スコア:0)
今回のではそうならないように手が打たれているから問題ないね
# 結局クエリ削れてないんだから追跡される点は問題だろと言えるんかもしれんけど閲覧上は問題にならない
Firefoxみたいなアプリにこんな素人がすぐ思いつくような穴が残ってると思えるのがすごいわ
自分が世界一賢いと素で思ってるんだろうな