在重定向之前检查ReturnUrl是否有效

Question

我正在使用ASP.NET成员身份和表单身份验证，并且在重定向到returnURL之前我想验证它。对于那些不熟悉工作流程的人员，基本上如果您请求的页面需要您进行身份验证，那么您将被重定向到登录页面。在URL字符串中，您会看到一个名为returnURL的参数，例如 http://example.com/login.aspx?ReturnUrl=%2fprotected%2fdefault.aspx

无论是使用此在重定向如Response.Redirect的（RETURNURL）或间接地通过FormsAuthentication.RedirectFromLoginPage方法，它通过不用验证RETURNURL。 FormsAuthentication.RedirectFromLoginPage确实有一个安全检查，它不会离开域，但仍然不会阻止某人放置足够多的随机字符来导致错误。

我试过使用System.IO.File.Exists(Server.MapPath(returnURL))，但给出足够的非法字符会导致Server.MapPath出错。

注意：URLEncoding不起作用，因为我们没有清除参数，而是主要URL。

验证或清理returnURL值的其他建议？

Answer 1

这篇文章解释了RETURNURL http://blogs.msdn.com/vijaysk/archive/2008/01/24/anatomy-of-forms-authentication-return-url.aspx

的解剖当你正确状态，域名被选中，所以用加密你的身份验证cookie，并确保沿着您使用https，我认为你可以做的唯一的事情停止无效的ReturnURL就是忽略它，并将所有登录重定向到主页或顶级网站，然后让用户通过菜单返回。一个很好的例子就是当你登录到hotmail。