私はAJAXログインフォームに取り組んでいます。送信時に、ログイン データをバックエンドに送信します。ログインに問題がある場合は、適切な応答が返されます。ログイン データが有効な場合、バックエンドはユーザーのセッションを作成し、ユーザーをリダイレクトする URL を返します。複数のユーザー設定 (言語、個人/ビジネスなど) によって URL が変わるため、URL を返したい。
このアプローチでセキュリティ上の問題を見落としていませんか? ブラウザが AJAX 呼び出しから返された URL を信頼している場合、攻撃者が悪意のある Web サイトにユーザーをリダイレクトすることは可能ですか?