ASP.NET MVC中防止XXS跳转

public ActionResult Login(LogOnModel model, string returnUrl)  
        {  
            if (ModelState.IsValid)  
            {  
                RegisteredUser usr = RegisteredUserBLL.AuthenticateUser(model.UserName, model.Password);  
                if (usr != null)  
                {  
                    FormsAuthentication.SetAuthCookie(model.UserName + "|" + usr.RealName + "|" + usr.UserType, model.RememberMe);    

                    if (Url.IsLocalUrl(returnUrl) && returnUrl.Length > 1 && returnUrl.StartsWith("/")  
                        && !returnUrl.StartsWith("//") && !returnUrl.StartsWith("/\\"))       
                        { /*
用于避免跳转攻击。攻击者伪造一个看起来指向你的网站的链接,
诱使用户点击,点击后,跳转到他的钓鱼网站上,而用户无法察觉。
甚至,攻击者可以产生一个跨站攻击(xss),
将用户cookie提交给他的网站,导致用户隐私泄露。
使用Url.IsLocalUrl(  xxxUrl )
这个方法,可以判断这个URL是否指向本地网站,还是指向另一个网站
                             */
                        return Redirect(returnUrl);   
                          }
                    return RedirectToAction("Index", "Home");        
  
                }  
                ModelState.AddModelError("", "登录账号或密码不正确");  //  
            }  
            return View(model);  
        }  

  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值