是否有可能在执行 SAML SSO 时以某种方式将返回 url 传递给身份服务器,并在用户成功验证时将该 url 发回我的断言 url?
问问题
1517 次
发送到 IdP的RelayState(在此处描述)参数可用于将返回 URL 发布到 IdP,并在从 IdP 发回身份验证响应时将其返回。当然,由于这是一个 HTTP POST 参数,因此如果您将 URL 存储在那里,则必须对其进行适当的编码/解码。
但是请记住,攻击者可能会使用它来欺骗用户打开受信任的 URL(身份服务器的 URL)并将其重定向到恶意站点。为防止这种情况,应验证重定向 URL。