我正在检查ASP.net MVC项目的安全问题。
我发现一些代码如下,我想知道是UrlEncode()阻止打开重定向问题?
public ActionResult Redirect(string url)
{
return Redirect(HttpUtility.UrlEncode(url));
}
不,当然不!
Open Redirection基本上允许攻击者将受害者重定向到不安全/恶意页面,因为URL身份验证丢失。
编码Url无济于事......一点都不。
为了能够阻止它,你可以在这个帖子上看到我的答案: