c# – 为什么对于ASP.NET MVC中的本地URL,Url.IsLocalUrl为false?

2022-12-29 17:08:10

任务:

ASP.NET MVC 5申请中防止open redirection

故事:

用户在网站的某个网页/上,例如概述页面/主页/概述并点击登录

登录后,服务器返回一些绝密的用户特定数据,并重定向到用户发起登录请求的同一页面.

我需要确保服务器在登录后不会愚蠢地重定向到黑客的网站,并且还传递绝密的用户特定数据.

的价值观

> _Controller.Request.UrlReferrer
> _Controller.Request.UrlReferrer.AbsoluteUri
> _Controller.Request.Url.AbsoluteUri
> _Controller.Url.IsLocalUrl(returnUrl)

分别是:

> {https:// localhost:44300 / Home / Overview}
>“https:// localhost:44300 / Home / Overview”
>“https:// localhost:44300 /帐户/登录?returnUrl = / Home / Overview”
>假

c# – 为什么对于ASP.NET MVC中的本地URL,Url.IsLocalUrl为false?

Url.IsLocalUrl的值为false,这在逻辑上是错误的.

在这种情况下,如何确保用户在成功登录后安全地重定向到/ Home / Overview而不是http://blackHatHackerWebsite.com

为什么对于ASP.NET MVC中的本地URL,Url.IsLocalUrl为false?

解决方法:

Url.IsLocalUrl(“/ Home / Overview”)绝对是真的.你弄错了,因为它正在评估Url.IsLocalUrl(“/ Home / Overview”).也就是说,returnUrl是url编码两次.尝试找到不必要的编码.

上一篇:2019年最新Web安全攻防班课程


下一篇:php – OpenCart是否对OWASP前10强化?