防止开放重定向,恶意篡改returnUrl

只能判断相对路径:http://localhost:6666/Account/Login?returnUrl=/User/Index

不能判断绝对路径:http://localhost:6666/Account/Login?returnUrl=http://localhost:6666/User/Index

1.防止开放重定向:

/// <summary>
/// 防止开放重定向(来自Mvc中的UrlHelper.IsLocalUrl)
/// </summary>
/// <param name="url"></param>
/// <returns></returns>
public static bool IsLocalUrl(string url)
{
  return !string.IsNullOrEmpty(url) && ((url[0] == ‘/‘ && (url.Length == 1 || (url[1] != ‘/‘ && url[1] != ‘\\‘))) || (url.Length > 1 && url[0] == ‘~‘ && url[1] == ‘/‘));
}

  

2.使用方法:

public void Login(string userName,string password, string returnUrl)
{
//logic code
//validate userName password

if (!string.IsNullOrEmpty(returnUrl) && Url.IsLocalUrl(returnUrl) )
{
return Response.Redirect(returnUrl);
}
return Response.Redirect("/");
}

  

原文地址:https://www.cnblogs.com/slwangzi/p/8496508.html

时间: 2024-08-11 14:03:44

防止开放重定向,恶意篡改returnUrl的相关文章

Web安全相关(三):开放重定向(Open Redirection)

简介 那些通过请求(如查询字符串和表单数据)指定重定向URL的Web程序可能会被篡改,而把用户重定向到外部的恶意URL.这种篡改就被称为开发重定向攻击. 场景分析 假设有一个正规网站http://nerddinner.com/,还有一个恶意网站或钓鱼网站http://nerddiner.com/(注意:这里少了个n). 一天,小白收到了别人发的链接:http://nerddinner.com/Account/LogOn?returnUrl=http://nerddiner.com. 1. 打开链

修复IE11首页被恶意篡改的问题

前几天为了测试一个程序,把系统换成了Windows10,Windows10自带了微软的新浏览器Edge和IE11,用来其实也没什么太多感觉了,我习惯于Chrome,但有些东西还是得用IE,比如网银之类的. 今天打开IE一看,首页自动跳到了“https://web.sogou.com/?12330”,我第一反应就是:肯定是搜狗输入法恶意篡改的,国产软件为啥就不能不做这种龌龊事情呢?联想到最近百度因为“卖贴吧”的事情被舆论口诛笔伐,但依旧我行我素的一幅傲慢模样,只怪监管机制缺失或不作为. 于是尝试改

监控web站点目录下所有文件是否被恶意篡改

监控web站点目录下所有文件是否被恶意篡改,(文件内容被改了)如果有的就打印改动的文件名 定时任务:每三分钟执行一次监测一次 文件被篡改的特征: 大小可能会变化(为什么说可能呢,如果把里面的值1改为2大小是不会变化的) 修改时间会变化   (文件测试符ot,nt) 文件内容会变化,通过md5sum指纹判断 增加或者删除文件 问题: 代码发布方案:大公司或规范的公司,不会时刻传代码,每天1-2次 脚本不严谨啊,工作中先解决文件,然后在解决好问题 #!/bin/sh num=`cat site.lo

IE 主页被恶意篡改的解决方法

IE 主页被篡改了,在ie 的 主页设置中不起任何作用,这个时候,就要打开注册表来修改: 具体操作如下: 1.运行 regedit  打开注册表 2.找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Application Compatibility\Main 3. 找到Default_Page_URL , First_Home_Page, StartPage 这三个变量 ,并时行 修改保存,保存后按F5 刷新

监控WED站点被恶意篡改

[[email protected] web_seripts]# cat md5sum.sh      #!/bin/sh #-------------------------------------------- #Author: Created by zhangyiling 2016-09 #Function: This scripts function is "Monitoring Web Site" #Version:4.1.2 #-----------------------

2345恶意篡改主页解决

在 中伪装成了 Internet Explorer 删除该文件夹即可,可能提示需要权限,用360强力删除即可. 原文地址:https://www.cnblogs.com/minconding/p/10302060.html

关于某度123恶意劫持篡改浏览器

                                                      革新不至,战斗不止 某度的123让我很烦,姑且不说是否好用,这种流氓行径的恶意篡改让我很难接受! 恶意推广,恶意下载,恶意捆绑,恶意篡改.........恶心 1.情况描述 操作系统:win10 劫持浏览器:win10斯巴达 情景:用户修改主页,在关闭浏览器后,再次启动,依然被篡改 篡改网址:  http://www.hao123.com/?tn=98157817_hao_pg 2.简单说

OpenApi开放平台架构实践

背景 随着业务的发展,越来越多不同系统之间需要数据往来,我们和外部系统之间产生了数据接口的对接.当然,有我们提供给外部系统(工具)的,也有我们调用第三方的.而这里重点讲一下我们对外的接口. 目前,我们运营和维护着诸多的对外接口,很多现有的接口服务寄宿在各个不同的项目,哪些应用在使用api也没有管理起来.并且以前的调用模式也是比较复杂,排错困难. 目前已经对外提供服务的有短信平台,审核中心,ETCP,官网系列(充值,登陆,注册),服务中心,AuterCenter,HomeAPI(即将上线).同时内

政府网站防篡改解决方案

政府网站防篡改解决方案        互联网的出现,被誉为 20 世纪最伟大的发明,它彻底改变了人们传统的生活方式,对现代社会产生了巨大影响.政府网站已成为政府电子政务的数字门户,是对外宣传国家政策法规的手段,是与社会大众交互.向社会大众提供服务和展现国家民主政治的重要窗口.随着网站数量不断增加,与之相对应的是网站受攻击的情况也越来越多.网站被攻击的各类情况中,网站页面被篡改事件给政府带来的影响尤其恶劣,影响面最广.尤其是含有政治攻击色彩的篡改,会对政府形象造成严重损害. 2006 年 3 月