ColdFusion : cflocation und das Sicherheitsrisiko mit HTTP-StatusCode 302

Artikel vom 17.02.2012 00:11 Uhr aus der Kategorie Programmierung • Kommentare (0) • Lesen

Einer der CF-Tags, den wohl jeder Entwickler gerne nutzt, ist <cflocation>. Er tut genau das, was er vermuten lässt: eine Umleitung. Aber gibt es vielleicht noch mehr darüber zu wissen?

Ein schneller Blick in die Adobe-Dokumentation verrät zunächst nicht viel über die eigentliche Funktionalität. Erst ein genauerer Blick darauf lässt erkennen, dass es sich bei der Umleitung um den HTTP-StatusCode 302 handelt, bezeichnet als HTTP_MOVED_TEMPORARILY. Dieser StatusCode ist als sicherheitskritisch zu betrachten, denn die meisten Suchmaschinen bewerten HTTP-StatusCodes streng nach ihrem eigentlichen Zweck, der im Fall von 302 lediglich eine temporäre Umleitung darstellt. Daraus folgt, dass nur die weiterleitende Seite(!) indiziert wird, denn der Verweis ist laut HTTP-StatusCode als temporär zu betrachten. Das wiederum ermöglicht URL-Hijacking.

Die Lösung für diese Problematik ist allerdings simpel und problemlos umsetzbar. <cflocation> bietet das Argument statusCode um den HTTP-StatusCode abweichend vom Standardwert, der wir oben beschrieben 302 ist, zu definieren. Statt 302 sollte hier also 301, bezeichnet als HTTP_MOVED_PERMANENTLY, verwendet werden. 301 wird wie die eigentlich erwünschte Umleitung verstanden und ist demnach auch suchmaschinenfreundlich(er). Hier sollte Adobe auf jeden Fall nachbessern.