ASP.NET MVC RECRENTURLプラクティス
https://stackoverflow.com/questions/2900420
-
04-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
認証が必要なページを押しようとしたときにASP.NETによって追加されるRECRENTURL QUERYSTRINGパラメーターについて質問があります。 Microsoft Nerddinnerサンプルのログオンアクションを見ると(他のすべての「サンプル認証コード」とともに、「ネット」に表示されます)、アクションの署名で宣言されたReturnurlパラメーターがあり、Redirect()コールで直接使用します。ただし、WebFormsの時代に戻ってメンバーシップコントロールを使用して、formsauthentication.getrurnurl()コールを使用します。 QueryStringでURLが指定されていない場合、「デフォルトのURL」を返すことに加えて、いくつかのセキュリティチェック(Cross App Redirectおよび 'isDangerourl()')も行います。それらはもはや懸念ではありませんか、それともすべてのサンプル「ログオン」アクションが私が「ネット全体で見ている」アクションは、これらの問題を無視するだけですか?
解決
あなたが見たサンプルについてはわかりませんが、MVCのようにフォーム認証を使用し、で実行されたチェックの恩恵を受けることが完全にあります。 FormsAuthenticationModule 処理(またはの使用 FormsAuthentication 直接クラス)。
IIRC、Visual StudioのデフォルトのMVCアプリケーションには、Forms Authenticationのアダプターが含まれています(AuthenticationService)これは簡単に使用できます ReturnUrl クエリ文字列。
問題のサンプルがXSR攻撃を見落としているだけだと思います。
