标签: asp.net
我是asp.net webform应用程序。我注意到.net框架如果没有登录则自动包含返回URL的名称。
我想验证returnURL页面,以便没有外部URL(由中间人攻击创建)。任何人都可以建议是否可以在asp.net 3.5中轻松实现这一点?
由于
答案 0 :(得分:0)
当登录表单发回服务器时,您可以请求并验证查询字符串returnUrl。
由于登录表单被回发并自行处理,因此您不应该担心此攻击。表单数据不会发送到returnUrl。