ASP.NET Core 预防开放式重定向攻击

写在前面

为预防钓鱼网站的常用套路，在进行 Web 应用程序的开发时，原则上应该将所有由用户提交的数据视为不可信。如果应用程序中包含了基于 URL 内容重定向的功能，需要确保这种类型的重定向操作只能在应用本地完成，或者明确判断其重定向到的是已知 URL，绝不能是 querystring 中可能包含的任何 URL。

在 ASP.NET Core 的 MVC基类中就提供了两种判断是否为本地URL的方法，这边做个记录；

两个方法分别为：LocalRedirect 和 IsLocalUrl 。

代码实现

public ActionResult Index(){return Content("Index");}public IActionResult SomeAction(string redirectUrl){return LocalRedirect(redirectUrl);}private IActionResult RedirectToLocal(string returnUrl){if (Url.IsLocalUrl(returnUrl)){return Redirect(returnUrl);}else{return RedirectToAction(nameof(WeatherForecastController.Index), "WeatherForecastController");}}

调用示例