=/= 307 redirect =/=
_ 2007-01-06 23:35:24 _

Kao sto vec znamo, mnogo je sigurnije koristiti POST metod svuda gde je to
moguce jer ovim pristupom stitimo nase web aplikacije od jednostavnih injection
napada ili cak CSRF napada.
Zanimljivo je to da vecina developera nije procitala rfc2616 a posebno ovaj deo
u kome se govori o "Status Code Definitions". 

A zanimljivo je zbog sledeceg scenarija:

User je popunio login formu za neki npr forum, koji je prethodno izmenjen uz
pomoc XSS injectiona da vodi na zlonamerni sajt. Zlonamerni sajt moze da pokupi
sve podatke iz POST zahteva i da zatim redirektuje/vrati usera na pravi sajt
tako da ovaj to i ne primeti. Pitate se sigurno kako ? 

Evo odgovora: 

Stvar postaje zanimljivija kada procitamo sledeci deo u RFC:

"If the 307 status code is received in response to a request other than GET or
HEAD, the user agent MUST NOT automatically redirect the request unless it can
be confirmed by the user, since this might change the conditions under which the
request was issued."

Opera i FF se pridrzavaju ovog pravila, ali IE ne !