ASP.Net MVC Práctica ReturnUrl
https://stackoverflow.com/questions/2900420
-
04-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Tengo una pregunta acerca del parámetro de cadena de consulta que se anexa ReturnURL por ASP.Net cuando intento para golpear una página que requiere autenticación. En el estudio de la acción de inicio de sesión Microsoft NerdDinner la muestra (junto con todos los demás 'ejemplo de código de autenticación' Veo en la 'red), que sólo tiene el parámetro ReturnUrl declaró en la firma y los usos de la acción directamente en una llamada de redirección (). Sin embargo, en los días WebForms y el uso de controles de membresía, que usamos para utilizar la llamada FormsAuthentication.GetReturnUrl (). Además de devolver el 'url por defecto' si no hay url se especifica en la cadena de consulta, sino que también hace algunas comprobaciones de seguridad (Cruz Aplicación de redirección y 'IsDangerousUrl ()'). Son los que ya no son una preocupación o toda la muestra 'conectarse' acciones que estoy viendo por toda la 'red simplemente haciendo caso omiso de esas cuestiones?
Solución
No estoy seguro acerca de las muestras que ha visitado, pero es totalmente posible utilizar formas de autenticación que está en MVC y beneficiarse de las comprobaciones realizadas en el procesamiento FormsAuthenticationModule (o directamente a través de la clase FormsAuthentication).
IIRC, la aplicación MVC predeterminada en Visual Studio incluye un adaptador alrededor de autenticación de formularios (AuthenticationService) que puede ser fácilmente adaptado para utilizar la cadena de consulta ReturnUrl.
Me imagine las muestras en cuestión simplemente han pasado por alto los ataques XSR.
