防止开放重定向,恶意篡改returnUrl

Posted 森林之子

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了防止开放重定向,恶意篡改returnUrl相关的知识,希望对你有一定的参考价值。

只能判断相对路径:http://localhost:6666/Account/Login?returnUrl=/User/Index

不能判断绝对路径:http://localhost:6666/Account/Login?returnUrl=http://localhost:6666/User/Index

1.防止开放重定向:

/// <summary>
/// 防止开放重定向(来自Mvc中的UrlHelper.IsLocalUrl)
/// </summary>
/// <param name="url"></param>
/// <returns></returns>
public static bool IsLocalUrl(string url)
{
  return !string.IsNullOrEmpty(url) && ((url[0] == ‘/‘ && (url.Length == 1 || (url[1] != ‘/‘ && url[1] != ‘\\‘))) || (url.Length > 1 && url[0] == ‘~‘ && url[1] == ‘/‘));
}

  

2.使用方法:

public void Login(string userName,string password, string returnUrl)
{
//logic code
//validate userName password

if (!string.IsNullOrEmpty(returnUrl) && Url.IsLocalUrl(returnUrl) )
{
return Response.Redirect(returnUrl);
}
return Response.Redirect("/");
}

  

以上是关于防止开放重定向,恶意篡改returnUrl的主要内容,如果未能解决你的问题,请参考以下文章