ممارسة ASP.NET MVC Returnurl
https://stackoverflow.com/questions/2900420
-
04-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لدي سؤال حول معلمة Returnurl QueryString التي يتم إلحاقها بواسطة ASP.NET عند محاولة ضرب صفحة تتطلب المصادقة. عند النظر إلى إجراء تسجيل الدخول إلى Microsoft Nerddinner Sample (إلى جانب كل "رمز المصادقة" الآخر الذي أراه على الشبكة) ، فإن معلمة Returnurl تم إعلانها في توقيع الإجراء وتستخدمها مباشرة في مكالمة إعادة توجيه (). ومع ذلك ، مرة أخرى في أيام WebForms واستخدام عناصر التحكم في العضوية ، نستخدم لاستخدام استدعاء FormsAuthentication.getReturnurl (). إلى جانب إرجاع "عنوان URL الافتراضي" إذا لم يتم تحديد عنوان URL في QueryString ، فإنه يقوم أيضًا ببعض عمليات الفحص الأمنية (إعادة توجيه التطبيق المتقاطع و "IsDangerUrl ()"). هل لم يعد هؤلاء مصدر قلق أم أن جميع الإجراءات "تسجيل الدخول" التي أراها في جميع أنحاء الشبكة تتجاهل هذه المشكلات؟
المحلول
لست متأكدًا من العينات التي نظرت إليها ، ولكن من المحتمل تمامًا استخدام مصادقة النماذج كما هي في MVC والاستفادة من الشيكات التي أجريت في FormsAuthenticationModule المعالجة (أو باستخدام FormsAuthentication الفصل مباشرة).
IIRC ، يتضمن تطبيق MVC الافتراضي في Visual Studio محولًا حول مصادقة النماذج (AuthenticationService) والتي يمكن تكييفها بسهولة لاستخدام ReturnUrl Querystring.
أتصور أن العينات المعنية قد تجاهلت ببساطة هجمات XSR.
