Estoy desarrollando una aplicación web PHP y estoy en el proceso de implementar una funcionalidad de redirección.
Sé que la redirección puede ser peligrosa cuando se puede configurar en el lado del cliente y uso ../../
como prefijo para la redirección.
¿Es esto suficiente para asegurarnos de que solo se pueda redirigir a las páginas internas? Lo probé con $_POST['redirurl']
que contenía cosas como http://www.evil.com
y ; http://www.evil.com
pero no funcionó.
¿Esto es seguro?
if(isset($_POST['redirurl'])){
$redir='Location: ../../'.$_POST['redirurl'];
header($redir);
}