本文继续为您带来Fortify SCA源代码扫描工具漏洞处理系列文章，今天为您讲解的是漏洞问题Open Redirect（开放的重定向）。

通过重定向，Web应用程序可以引导用户访问同一个应用程序内不同网页，或者访问外部站点。应用程序利用重定向帮助进行站点导航，有时候还会跟踪用户退出站点的方式，当Web应用程序把客户端重定向到攻击者可以控制的任意的URL时，就会产生Open redirect漏洞，攻击者利用Open redirect可以诱骗用户访问某一个可信赖站点的URL，并且将他们重定向到恶意站点。攻击者通过对URL进行编码，使得用户很难注意到被重定向的恶意目标，将恶意目标作为URL参数传递给可以信赖的站点时，也可能会发生这种情况。Open redirect常常被作为一种钓鱼手段，攻击者通过这种方法来获取最终用户的敏感数据。

对于防止Open Redirect的常规建议，只需要判断重定向的链接是本地链接或者是合法的链接即可。如果登录链接和站点的其他页面都在同一个域名，只需要系统运行时确保二者连接在同一个域名下面即可；如果登录链接和站点其他页面不再同一个域名，如点击登录，这时可以利用白名单或者其他技术手段来判断定向页面的合法性。

在使用Fortify SCA源代码扫描工具进行扫描时，如果扫描出该漏洞问题，Fortify SCA会给您提出最适合的修复建议。如您还有其他问题，可以点击右侧二维码或电话方式联系我们，我们有专业的技术人员会为您详细解答，感谢您的观看。