ASP.Net MVC ReturnUrl Praxis
https://stackoverflow.com/questions/2900420
-
04-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich habe eine Frage über die returnUrl Abfragezeichenfolgeflag Parameter, die von ASP.Net angehängt wird, wenn versucht, eine Seite zu schlagen, der eine Authentifizierung erfordert. Bei der Betrachtung Aktion LogOn Microsoft NerdDinner Probe (zusammen mit allen anderen ‚Probe-Authentifizierungscode‘ ich auf dem ‚Netz sehen), es muss nur der ReturnUrl Parameter in der Klage der Unterschrift und nutzt sie direkt in einem Redirect () Aufruf erklärt. Doch zurück in den WebForms Tagen und mit Membership Controls, verwenden wir die FormsAuthentication.GetReturnUrl () Aufruf zu verwenden. Neben der Rückkehr der ‚Standard-URL‘, wenn keine URL in der Abfragezeichenfolgeflag angegeben wurde, hat es auch einige Sicherheitsüberprüfungen (Cross App Redirect und ‚IsDangerousUrl ()‘). Sind die nicht mehr ein Anliegen oder sind alle die Probe ‚anmelden‘ Aktionen ich überall auf der ‚net da sehe nur diese Probleme zu ignorieren?
Lösung
Ich bin mir nicht sicher über die Proben, die Sie betrachtet haben, aber es ist ganz möglicherweise Verwendung von Formularauthentifizierung wie in MVC ist und profitieren von den durchgeführten Kontrollen in der FormsAuthenticationModule Verarbeitung (oder mit der FormsAuthentication Klasse direkt).
IIRC, die Standard-MVC Anwendung in Visual Studio einen Adapter herum bildet Authentifizierung (AuthenticationService), die leicht angepasst werden können, die ReturnUrl Abfragezeichenfolgeflag zu verwenden.
Ich stelle mir die Proben in Frage haben einfach XSR-Attacken übersehen.
