Si alguien accediera a una página protegida mientras estaba desconectado, sería redirigido a una página de inicio de sesión:
/login?next=/something/123/manage?sort=desc
Si el inicio de sesión se realiza correctamente, se deben redirigir a la página que pretenden ver:
if verify_creds(user, password):
login(user)
return redirect(request.args['next'])
¿Cómo verificar que un atacante no puede usar el siguiente parámetro para visitar un sitio de phishing? ¿Es suficiente verificar si el próximo inicio es /
, es decir, un enlace relativo o debo intentar verificar si es una ruta válida en mi aplicación?