如何解决 symfony2 中的 HTTP 请求转发问题？答案

【问题标题】：How to solve HTTP Request Forwarding issue in symfony2?如何解决 symfony2 中的 HTTP 请求转发问题？
【发布时间】：2014-01-31 08:23:38
【问题描述】：

我正在使用 symfony2.3.1 应用程序，但我遇到了未经验证的 HTTP 请求转发问题。我很困惑我该如何解决这个问题。我是否需要在 apache2 服务器中进行配置，或者我应该在 symfony2 应用程序中做一些事情。

问题是用户通过我的应用程序的 Web 代理服务器向任何远程 Web 服务器发送恶意请求。我的应用程序将充当 Web 代理，并且看起来好像攻击源自此应用程序而不是攻击者的客户端。

请帮忙！！

【问题讨论】：

你说的HTTP请求转发是什么意思？！有几种方法可以将请求传递给另一个脚本/服务器/域。
你能发布更多信息吗？一条错误消息和一些代码会有所帮助。

标签： php apache symfony apache2

【解决方案1】：

取自owasp.org：

如何防止“未经验证的重定向和转发”？

可以通过多种方式安全使用重定向和转发：

避免使用重定向和转发。

如果使用，在计算目的地时不要涉及用户参数。这通常可以做到。

如果无法避免目标参数，请确保提供的值有效，并为用户授权。

建议任何此类目标参数都是映射值，而不是实际 URL 或 URL 的一部分，并且服务器端代码将此映射转换为目标 URL。

解决你的问题的关键是最后一句话。使用这样的地图可以让您完全控制重定向/转发的内容和不转发的内容。

【讨论】：