如何防止开放重定向攻击?

时间:2011-12-20 11:33:02

标签: asp.net security

防止开放重定向攻击的最佳方法是什么。目前我正在开发asp.net网站。我想确保在成功登录后不将用户重定向到外部链接?

编辑:是否可以在不更改现有代码的情况下实施解决方案?

1 个答案:

答案 0 :(得分:10)

我假设你正在使用login control。 您应该检查ReturnUrl参数是否是本地URL(而不是指向不同域的那个)。 loggedin event是做这样事情的好地方:

void OnLoggedIn(object sender, EventArgs e)
{
    string returnto = Request.QueryString["ReturnUrl"];
    if (returnto != "" and isLocalUrl(returnto)) Response.Redirect(returnto);
}

您可以在here

中使用IsLocalUrl的定义 
private bool IsLocalUrl(string url)
{
    if (string.IsNullOrEmpty(url))
    {
        return false;
    }

    Uri absoluteUri;
    if (Uri.TryCreate(url, UriKind.Absolute, out absoluteUri))
    {
        return String.Equals(this.Request.Url.Host, absoluteUri.Host, 
                    StringComparison.OrdinalIgnoreCase);
    }
    else
    {
        bool isLocal = !url.StartsWith("http:", StringComparison.OrdinalIgnoreCase)
            && !url.StartsWith("https:", StringComparison.OrdinalIgnoreCase)
            && Uri.IsWellFormedUriString(url, UriKind.Relative);
        return isLocal;
    }
}
相关问题
最新问题