我正在检查ASP.net MVC项目是否存在安全问题。
我发现了一些如下代码,我想知道UrlEncode()阻止了开放重定向问题吗?
public ActionResult Redirect(string url)
{
return Redirect(HttpUtility.UrlEncode(url));
}
答案 0 :(得分:0)
不,当然不是!
打开重定向基本上允许攻击者将受害者重定向到不安全/恶意页面,因为URL身份验证丢失。
对网址进行编码没有帮助..根本没有。
为了能够阻止它,你可以在这个帖子上看到我的答案: