这篇是我前几个月在CSDN开发者大会上讲的账号通行证安全相关的PPT《我的通行你的证》的文字整理版，稍微补充了点内容。因为懒一直没时间写，但年关将至，想到可以为老家的孩子们多挣点压岁钱……

这篇文章主要讲目前互联网上get方法被不规范使用带来的一些安全漏洞。其中重点会讲get请求在账号登陆体系中被滥用的场景和攻击方式。

对于不允许跳转到第三方的，可以使用location.pathname来跳转，用这个跳转绝对靠谱。

有句成语”path就不是共产党员“就是修饰这个属性的，既然不是共产党员，说明path是靠谱的。

对于允许跳转到第三方的，做好白名单的检查规则。