ASP.NET Core 预防开放式重定向攻击

写在前面

为预防钓鱼网站的常用套路，在进行 Web 应用程序的开发时，原则上应该将所有由用户提交的数据视为不可信。如果应用程序中包含了基于 URL 内容重定向的功能，需要确保这种类型的重定向操作只能在应用本地完成，或者明确判断其重定向到的是已知 URL，绝不能是 querystring 中可能包含的任何 URL。

在 ASP.NET Core 的 MVC基类中就提供了两种判断是否为本地URL的方法，这边做个记录；

两个方法分别为：LocalRedirect 和 IsLocalUrl 。

代码实现

        public ActionResult Index()
        {
            return Content("Index");
        }

        public IActionResult SomeAction(string redirectUrl)
        {
            return LocalRedirect(redirectUrl);
        }

        private IActionResult RedirectToLocal(string returnUrl)
        {
            if (Url.IsLocalUrl(returnUrl))
            {
                return Redirect(returnUrl);
            }
            else
            {
                return RedirectToAction(nameof(WeatherForecastController.Index), "WeatherForecastController");
            }
        }

调用示例