c# – 为什么对于ASP.NET MVC中的本地URL,Url.IsLocalUrl为false？

任务：

在ASP.NET MVC 5申请中防止open redirection

故事：

用户在网站的某个网页/上,例如概述页面/主页/概述并点击登录

登录后,服务器返回一些绝密的用户特定数据,并重定向到用户发起登录请求的同一页面.

我需要确保服务器在登录后不会愚蠢地重定向到黑客的网站,并且还传递绝密的用户特定数据.

的价值观

> _Controller.Request.UrlReferrer
> _Controller.Request.UrlReferrer.AbsoluteUri
> _Controller.Request.Url.AbsoluteUri
> _Controller.Url.IsLocalUrl(returnUrl)

分别是：

> {https：// localhost：44300 / Home / Overview}
>“https：// localhost：44300 / Home / Overview”
>“https：// localhost：44300 /帐户/登录？returnUrl = / Home / Overview”
>假

Url.IsLocalUrl的值为false,这在逻辑上是错误的.

在这种情况下,如何确保用户在成功登录后安全地重定向到/ Home / Overview而不是http://blackHatHackerWebsite.com？

为什么对于ASP.NET MVC中的本地URL,Url.IsLocalUrl为false？

解决方法:

Url.IsLocalUrl(“/ Home / Overview”)绝对是真的.你弄错了,因为它正在评估Url.IsLocalUrl(“/ Home / Overview”).也就是说,returnUrl是url编码两次.尝试找到不必要的编码.

标签：c,asp-net,asp-net-mvc,url-redirection,owasp
来源： https://codeday.me/bug/20190523/1156701.html