La sécurité des URL de "redirect" bloque s'il n'a pas de slash à la fin #4898

Open
opened 1 week ago by rastapopoulos · 2 comments
Owner

Dans securiser_redirect_action(), ça teste si on a le droit de rediriger vers l'URL demandé, et sinon ça la VIDE complètement.

Sauf que si on demande bien à rediriger vers l'URL officielle du site mais SANS un slash à la fin… il refuse.

On est d'accord que c'est pas à SPIP de décider que "http://monsupersite.com" c'est différent de "http//monsupersite.com/" ?

Il me semble que ça devrait l'autoriser tout autant, ce n'est pas ce qu'on s'attend à avoir comme comportement, et personne ne peut piger pourquoi ça refuse mystérieusement la redirection.

Dans [securiser_redirect_action()](https://git.spip.net/spip/spip/src/branch/master/ecrire/public/aiguiller.php#L17), ça teste si on a le droit de rediriger vers l'URL demandé, et sinon ça la VIDE complètement. Sauf que si on demande bien à rediriger vers l'URL officielle du site mais SANS un slash à la fin… il refuse. On est d'accord que c'est pas à SPIP de décider que "http://monsupersite.com" c'est différent de "http//monsupersite.com/" ? Il me semble que ça devrait l'autoriser tout autant, ce n'est pas ce qu'on s'attend à avoir comme comportement, et personne ne peut piger pourquoi ça refuse mystérieusement la redirection.
b_b added this to the 4.0 milestone 1 week ago
Owner

bug ou évolution ?

bug ou évolution ?
Poster
Owner

Pour moi c'est un bug, car comportement incompréhensible et contre-intuitif.

Pour moi c'est un bug, car comportement incompréhensible et contre-intuitif.
b_b added the
bug
label 18 hours ago
Sign in to join this conversation.
No Milestone
No project
No Assignees
2 Participants
Notifications
Due Date

No due date set.

Dependencies

This issue currently doesn't have any dependencies.

Loading…
There is no content yet.