3
オープンリダイレクト攻撃を防止するための最良の方法は何ですか?現在、私はasp.netウェブサイトを開発しています。ログインに成功すると外部リンクにユーザーをリダイレクトしないようにしたいのですか?オープンリダイレクト攻撃を防ぐ方法は?
編集:既存のコードを変更せずにソリューションを実装することは可能ですか?
A
答えて
9
login controlを使用しているとします。 ReturnUrlパラメータがローカルURLであり(別のドメインを指していない)チェックであることを確認する必要があります。あなたはhere
private bool IsLocalUrl(string url)
{
if (string.IsNullOrEmpty(url))
{
return false;
}
Uri absoluteUri;
if (Uri.TryCreate(url, UriKind.Absolute, out absoluteUri))
{
return String.Equals(this.Request.Url.Host, absoluteUri.Host,
StringComparison.OrdinalIgnoreCase);
}
else
{
bool isLocal = !url.StartsWith("http:", StringComparison.OrdinalIgnoreCase)
&& !url.StartsWith("https:", StringComparison.OrdinalIgnoreCase)
&& Uri.IsWellFormedUriString(url, UriKind.Relative);
return isLocal;
}
}
+0
ありがとう、@パオロ、しかし、私は既存のコードを変更したくない、実装することは可能ですか? – kvc
+0
再コンパイルできないという制約がある場合、この変更はログインページのHTMLで直接インラインで行うことができます([LoggedInイベントのドキュメント]を参照)。http://msdn.microsoft.com/en-us/library例としては/system.web.ui.webcontrols.login.loggedin.aspx) –
関連する問題
- 1. XSS攻撃を防ぐ方法tomcat 5.5
- 2. XSS攻撃を防ぐ
- 3. 多くのサーブレットセッションでDOS攻撃を防ぐ方法は?
- 4. <meta http-equiv = "refresh">攻撃を防ぐ方法は?
- 5. xss攻撃/注射を防ぐ
- 6. 非同期セッションレスコントローラのDos攻撃を防ぐ方法
- 7. ウェブサイト上のサービス拒否攻撃を防ぐ最良の方法
- 8. SQL攻撃を防ぐ方法 - ストアドプロシージャの入力パラメータ
- 9. 防御攻撃
- 10. XSS攻撃防止
- 11. ajaxフォームの提出に対してブルートフォース攻撃を防ぐ方法は?
- 12. HTTPS攻撃とMITM攻撃
- 13. XSS攻撃を防止する
- 14. node.jsで書かれた私のhttpサーバ上のDOS攻撃を防ぐには?
- 15. JavascriptとXSS攻撃の防止
- 16. リプレイ防止REST URLのリプレイ攻撃
- 17. これはデータをフィルタリングしてSQLインジェクションやその他の攻撃を防ぐ安全な方法ですか?
- 18. フィッシング攻撃を防ぐために実行時にインストールされたアプリケーションを確認する方法は?
- 19. C#MVC:ASP.NETサイトに対するサービス拒否攻撃(DOS)を防ぐための良い方法は何ですか?
- 20. CSRF攻撃を実証する方法
- 21. asp.net - SQLインジェクション攻撃後のクリーンアップ方法
- 22. ヒープオーバーフロー攻撃
- 23. クロスサイトスクリプティング攻撃、トラブル
- 24. バッファオーバーフロー攻撃
- 25. XSS攻撃
- 26. IPアドレスをブロックしてブルートフォース攻撃を防ぎます。
- 27. DOS攻撃(Heroku)を防止するためのレート制限
- 28. PHPでURLエンコードされたXSS攻撃を防止する
- 29. 悪意のあるリクエスト - DOS攻撃を防止する
- 30. Djangoでサービス拒否攻撃を防止するためのベストプラクティス
WebフォームまたはMVC与えIsLocalUrlの定義を使用することができます
:loggedin eventはこのような何かを行うには良い場所でしょうか? –
私はwebformsを使用しています – kvc