Asp.net mvc returgurl практика
https://stackoverflow.com/questions/2900420
-
04-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
У меня есть вопрос о параметре QueryString reteverrlling, который добавляется ASP.NET при попытке ударить страницу, которая требует аутентификации. В поисках входа в систему входа в систему Microsoft Nerddinner Microsoft Nerddinner (наряду с каждым Другим кодом аутентификации образца я вижу в «Net), он просто имеет параметр returnurl, объявленный в подписи действий и использует ее непосредственно в вызове (). Однако, обратно в дни WebForms и использование элементов управления членствами, мы используем для использования вызова Formandauthentication. GTETRETURNURL (). Помимо возврата «URL-адрес по умолчанию», если в QueryString не было указано никакого URL-адреса, он также делает несколько проверок безопасности (пересекание приложения Redirect и «ISDangeverrugrl ()»). Это больше не являются беспокойством, либо все образец «Войти на» действия, которые я вижу по всему «сети, просто игнорируя эти проблемы?
Решение
Я не уверен в образцах, на которых вы смотрели, но это совершенно возможно, использовать форму аутентификации форм, как это в MVC и выгоде от проверок, выполненных в FormsAuthenticationModule обработка (или используя FormsAuthentication класс напрямую).
IIRC, приложение MVC по умолчанию в Visual Studio включает адаптер вокруг аутентификации форм (AuthenticationService) который можно легко адаптировать, чтобы использовать ReturnUrl Строка запроса.
Предлагаю, что рассматриваемые образцы просто упустили атаки XSR.
