Web安全之URL重定向漏洞与防护策略详解

一、漏洞描述
URL重定向漏洞（也称为开放重定向漏洞）是指应用程序接受用户可控的输入作为目标URL参数，未经验证或过滤就直接进行重定向操作。攻击者可以利用此漏洞构造恶意链接，诱导用户点击后跳转到钓鱼网站、恶意软件下载页面或其他危险域名。

二、漏洞原理与危害

1. 核心原理：应用程序在实现重定向功能时，通常使用Location头或前端JavaScript的window.location进行跳转。若跳转目标直接从用户输入（如URL参数、表单字段）获取且未做严格校验，则存在漏洞。

   // 漏洞示例：直接使用用户输入的redirect参数
   const target = req.query.redirect;
   res.redirect(target); // 危险：未验证target是否合法
   

2. 主要危害：

   • 钓鱼攻击：将用户重定向到伪装成合法网站的钓鱼页面，窃取账号密码。
   • 恶意软件分发：跳转到挂马页面，诱导用户下载病毒。
   • 信任滥用：利用受信任的域名进行跳转，绕过用户对恶意链接的警惕。

三、漏洞触发场景分析

1. 登录/登出重定向：登录后跳转到用户指定的页面。
2. 页面跳转功能：如“返回首页”“跳转到外部链接”等功能的实现。
3. OAuth/SSO回调：认证成功后回调到指定URL。
4. 文件下载/预览：通过参数指定下载资源的来源。

四、漏洞利用示例
假设存在漏洞的URL：https://example.com/login?redirect=https://evil.com

1. 攻击者构造恶意链接并发送给用户。
2. 用户访问该链接时，登录页面可能直接跳转到https://evil.com。
3. 若登录页面有“跳过登录”的游客模式，漏洞利用成功率更高。

五、防护策略详解

1. 白名单验证（推荐）：

   • 定义允许跳转的域名或路径白名单，仅允许跳转到可信地址。
   • 示例代码：

     const allowedDomains = ['example.com', 'trusted-site.org'];
     function safeRedirect(url) {
       const domain = new URL(url).hostname;
       if (allowedDomains.includes(domain)) {
         return url;
       }
       return '/default'; // 非法域名则跳转到默认页面
     }
     

2. 固定目标跳转：

   • 避免直接使用用户输入，而是通过映射关系（如数字ID）确定跳转目标。
   • 示例：

     // 将用户输入的redirect映射为固定路径
     const redirectMap = { 1: '/home', 2: '/profile' };
     const targetId = parseInt(req.query.redirect_id);
     res.redirect(redirectMap[targetId] || '/default');
     

3. 相对路径限制：

   • 仅允许跳转到站内相对路径（如/home），禁止包含协议和域名的绝对路径。

4. 用户确认提示：

   • 对于外部链接跳转，增加提示页面告知用户将离开当前网站，由用户手动确认。

5. 签名验证：

   • 对重定向参数进行数字签名，确保参数未被篡改。例如，通过HMAC对URL计算签名，验证时校验签名有效性。

六、进阶防护：同源策略与Referer检查

1. 验证Referer头：检查请求的Referer是否来自本站，但需注意Referer可能被禁用或伪造。
2. CSRF Token结合：将重定向参数与CSRF Token绑定，确保跳转请求的合法性。

七、总结
URL重定向漏洞虽看似简单，但常被忽视。防护核心在于对用户输入保持不信任原则，通过白名单、固定映射或签名机制确保跳转目标可控。在业务设计中，需权衡用户体验与安全性，避免为便利性牺牲安全。