重定向前检查 ReturnUrl 是否有效

Question

我正在使用 ASP.NET 会员资格和表单身份验证，在重定向到 returnURL 之前我想验证它。对于那些不熟悉工作流程的人来说，基本上，如果您请求一个需要您进行身份验证的页面，您将被重定向到登录页面。在 URL 字符串中，您将看到一个名为 returnURL 的参数，例如 http://example.com/login.aspx?ReturnUrl=%2fprotected% 2fdefault.aspx

无论您是在重定向（例如 Response.Redirect(returnURL)）中使用它，还是通过 FormsAuthentication.RedirectFromLoginPage 方法间接使用它，它都会通过而不验证 returnURL。 FormsAuthentication.RedirectFromLoginPage 确实有一个安全检查，确保它不会离开域，但这仍然无法阻止有人输入足够的随机字符来导致错误。

我尝试使用 System.IO.File.Exists(Server.MapPath(returnURL)) 但给出足够多的非法字符会导致 Server.MapPath 出错。

注意：URLEncoding 不起作用，因为我们不是清理参数，而是清理主 URL。

对于验证或清理 returnURL 值还有其他建议吗？

Answer 1

这篇文章解释了 ReturnURL 的剖析
http:// blogs.msdn.com/vijaysk/archive/2008/01/24/anatomy-of-forms-authentication-return-url.aspx

正如您正确指出的那样，域已被检查，因此同时加密您的身份验证 cookie ，并确保使用 https 我认为阻止无效 ReturnURL 的唯一方法就是忽略它，并将所有登录重定向到站点的主页或顶层，让用户然后通过菜单导航回来。一个很好的例子是当您登录 hotmail 时。