ASP.Net MVC ReturnUrl Practice
https://stackoverflow.com/questions/2900420
-
04-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Ho una domanda sul parametro querystring ReturnURL che viene aggiunto da ASP.Net quando ha tentato di colpire una pagina che richiede l'autenticazione. Nel guardare l'azione di accesso di Microsoft NerdDinner campione (insieme ad ogni altra 'codice di autenticazione di esempio' vedo 'sulla rete), ha solo il parametro ReturnUrl dichiarato nella firma del l'azione e l'usa direttamente in una chiamata Redirect (). Tuttavia, negli WebForms giorni e che utilizzano i controlli di appartenenza, che usiamo per utilizzare la chiamata FormsAuthentication.GetReturnUrl (). Oltre la restituzione del 'url di default' se nessun URL è stato specificato nella querystring, lo fa anche un paio di controlli di sicurezza (Croce App reindirizzare e 'IsDangerousUrl ()'). Sono quelli non più una preoccupazione o sono tutti il ??campione 'accedere' azioni che sto vedendo in tutto il 'net semplicemente ignorando questi problemi?
Soluzione
Non sono sicuro circa i campioni che hai guardato, ma è del tutto possibilmente ad usare forme di autenticazione, come è nella MVC e beneficiare dei controlli effettuati nel settore della trasformazione FormsAuthenticationModule (o utilizzando direttamente la classe FormsAuthentication).
IIRC, l'applicazione predefinita MVC in Visual Studio include un adattatore intorno autenticazione basata su form (AuthenticationService), che può essere facilmente adattato per usare la querystring ReturnUrl.
immagino i campioni in questione sono semplicemente trascurati gli attacchi XSR.
