我已经为MVC项目的SLO设置了sustainsys-saml2和dev-environment,这似乎可以工作,但是问题是注销后我们回到了入口点。在我的stubidp中,我使用的是sustainsys中的stubidp,注销后我将立即获得ADFS的开始屏幕,这没关系,但在{{1} }作为idp,它将自动重新登录。
我已经测试过通过添加/AuthServices/Logout?ReturnUrl=/status来注销(状态页面不需要登录),并且似乎可以正常工作,因为我将进入状态页面。如果我改为将http://www.google.se设置为ReturnUrl,则它将不起作用。所以我的问题是,是否可以配置发送到ReturnUrl的内容以注销WebConfig,并且是否总是必须相对于我的应用程序URL?
亲切问候 埃里克
答案 0 :(得分:0)
默认情况下,仅允许使用本地URL来阻止开放式重定向攻击。
如果要允许特定的远程URL,则可以实施ValidateAbsoluteReturnUrl通知以为白名单中的URL返回true。不要通过简单地返回true来“修复”它,这将导致开放式重定向漏洞。