1

我已经设置了SLO一个sustainsys-saml2MVC 项目,它似乎可以工作,但问题是我们在注销后返回到入口点。在我dev-environment使用stubidpfrom时sustainsys,我将stubidp在注销后直接获得启动屏幕,这没关系,但在测试环境中ADFSidp它会自动再次登录。

我已经通过添加/AuthServices/Logout?ReturnUrl=/status(状态页面不需要登录)测试了注销,它似乎可以工作,因为我将登陆状态页面。如果我将http://www.google.se设置为 ReturnUrl,则它不起作用。所以我的问题是,是否可以配置发送到ReturnUrl注销的WebConfig内容,它是否总是必须与我的应用程序 url 相关?

亲切的问候埃里克

4

1 回答 1

1

默认情况下只允许使用本地 URL,以阻止开放式重定向攻击。

如果您想允许特定的远程 URL,您可以实现ValidateAbsoluteReturnUrl通知以返回true白名单中的 URL。不要通过简单地返回true任何东西来“修复它”——这将导致一个开放的重定向漏洞。

于 2018-09-07T20:03:45.137 回答