为什么对于ASP.NET MVC中的本地URL,Url.IsLocalUrl为false?
团:
阻止open redirection申请中的ASP.NET MVC 5
故事:
用户位于网站/的某个网页上,说概述页面/Home/Overview并点击 login
登录后,服务器返回一些绝密用户特定数据,并重定向到用户发起登录请求的同一页面。
我需要确保服务器在登录后不会愚蠢地重定向到黑客的网站,并传递绝密用户特定数据。
的值
-
_Controller.Request.UrlReferrer -
_Controller.Request.UrlReferrer.AbsoluteUri -
_Controller.Request.Url.AbsoluteUri -
_Controller.Url.IsLocalUrl(returnUrl)
分别是:
-
{https://localhost:44300/Home/Overview} -
"https://localhost:44300/Home/Overview" -
"https://localhost:44300/Account/Login?returnUrl=%2FHome%2FOverview" -
false
Url.IsLocalUrl的值为false,这在逻辑上是错误的。
在这种情况下,如何确保用户在成功登录后安全地重定向到/Home/Overview而不是http://blackHatHackerWebsite.com?
为什么对于ASP.NET MVC中的本地URL,Url.IsLocalUrl为false?
1 个答案:
答案 0 :(得分:4)
Url.IsLocalUrl("/Home/Overview")绝对是true。您得到false因为它正在评估Url.IsLocalUrl("%2fHome%2fOverview")。也就是说,您returnUrl被网址编码两次。尝试找到不必要的编码。
相关问题
- 为什么ASP.NET MVC忽略了我在URL中的区域?
- 对于Android,Request.Browser.IsMobileDevice = false,为什么?
- 如果URL包含片段,为什么Url.IsLocalUrl返回false?
- 单元测试Url.IsLocalUrl(returnUrl.ToString()),我怎样才能让它在单元测试中返回false?
- 为什么Request.IsAuthenticated是错误的
- 为什么ModelState.IsValid为false,因为条件为真?
- 为什么User.Identity.IsAuthenticated总是假的?
- 为什么if(Request.IsAjaxRequest)为假
- ASP.NET MVC Url.IsLocalUrl()的功能不正确吗?
- 为什么对于ASP.NET MVC中的本地URL,Url.IsLocalUrl为false?
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?