防止开放重定向,恶意篡改returnUrl

Posted 森林之子

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了防止开放重定向,恶意篡改returnUrl相关的知识,希望对你有一定的参考价值。

只能判断相对路径:http://localhost:6666/Account/Login?returnUrl=/User/Index

不能判断绝对路径:http://localhost:6666/Account/Login?returnUrl=http://localhost:6666/User/Index

1.防止开放重定向:

/// <summary>
/// 防止开放重定向(来自Mvc中的UrlHelper.IsLocalUrl)
/// </summary>
/// <param name="url"></param>
/// <returns></returns>
public static bool IsLocalUrl(string url)
{
  return !string.IsNullOrEmpty(url) && ((url[0] == ‘/‘ && (url.Length == 1 || (url[1] != ‘/‘ && url[1] != ‘\\‘))) || (url.Length > 1 && url[0] == ‘~‘ && url[1] == ‘/‘));
}

  

2.使用方法:

public void Login(string userName,string password, string returnUrl)
{
//logic code
//validate userName password

if (!string.IsNullOrEmpty(returnUrl) && Url.IsLocalUrl(returnUrl) )
{
return Response.Redirect(returnUrl);
}
return Response.Redirect("/");
}

  

以上是关于防止开放重定向,恶意篡改returnUrl的主要内容,如果未能解决你的问题,请参考以下文章

Web安全相关:开放重定向(Open Redirection)

通过DNS重定向防止恶意软件(DNS漏洞黑洞)…

防止nodejs中的开放重定向攻击安全吗?

重定向到登录页面时,asp.net/iis 不附加 ReturnUrl

Win7系统怎样防止注册表被篡改系统天地

犯罪分子劫持路由器 DNS 设置将用户重定向至安卓恶意软件