我有一个关于returnUrl querystring参数的问题,该参数在尝试命中需要身份验证的页面时由ASP.Net附加。在查看Microsoft NerdDinner Sample的LogOn操作(以及我在'net上看到的所有其他'示例身份验证代码')时,它只是在操作的签名中声明了ReturnUrl参数,并直接在Redirect()调用中使用它。但是,回到WebForms时代并使用Membership Controls,我们使用FormsAuthentication.GetReturnUrl()调用。除了在查询字符串中没有指定url时返回'default url',它还会进行一些安全检查(Cross App Redirect和'IsDangerousUrl()')。那些不再是一个问题,还是所有的“登录”样本,我在网上看到的只是忽略了那些问题?
答案 0 :(得分:0)
我不确定你看过的样本,但完全可能在MVC中使用Forms身份验证,并从FormsAuthenticationModule处理中执行的检查中受益(或使用{{直接1}}类)。
IIRC,Visual Studio中的默认MVC应用程序包括一个围绕表单身份验证(FormsAuthentication)的适配器,可以很容易地对其进行调整以使用AuthenticationService查询字符串。
我想这些样本只是忽略了XSR攻击。