防止开放重定向，恶意篡改returnUrl

时间：2018-03-03 14:47:12 阅读：264 评论：0 收藏：0 [点我收藏+]

只能判断相对路径：http://localhost:6666/Account/Login?returnUrl=/User/Index

不能判断绝对路径：http://localhost:6666/Account/Login?returnUrl=http://localhost:6666/User/Index

1.防止开放重定向：

/// <summary>
/// 防止开放重定向(来自Mvc中的UrlHelper.IsLocalUrl)
/// </summary>
/// <param name="url"></param>
/// <returns></returns>
public static bool IsLocalUrl(string url)
{
  return !string.IsNullOrEmpty(url) && ((url[0] == ‘/‘ && (url.Length == 1 || (url[1] != ‘/‘ && url[1] != ‘\\‘))) || (url.Length > 1 && url[0] == ‘~‘ && url[1] == ‘/‘));
}

2.使用方法：

public void Login(string userName,string password, string returnUrl)
{
//logic code
//validate userName password

if (!string.IsNullOrEmpty(returnUrl) && Url.IsLocalUrl(returnUrl) )
{
return Response.Redirect(returnUrl);
}
return Response.Redirect("/");
}

防止开放重定向，恶意篡改returnUrl

原文：https://www.cnblogs.com/slwangzi/p/8496508.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)