[网站安全]避免在站点中通过URL参数做重定向

假设有一个网站不安全：http://www.unsafe.com

但是有个安全网站的某个地址只做重定向，而且不进行任何内部判断（或者说是安全判断），那么只要将不安全网站作为其参数，就可以绕开钓鱼网站判定机制。如：

http://redirect.safe.com?ReturnUrl=http://www.unsafe.com

浏览该地址，的确会在安全网站上做一次操作，但是将完成一个重定向动作，重定向结果将是不安全网站。

这样的情况会发生在登录的情况，有的登录界面会有一个ReturnUrl作为参数标识。

假设：http://www.safe.com/login.aspx?ReturnUrl=http://www.safe.com/default.aspx

按照正常的流程，将会在登录成功后跳转到default.aspx页面，但是如果将这里写为重定向到一个伪安全页面，如：

http://www.safe.com/login.aspx?ReturnUrl=http://202.123.1.2

那么在登录后，将会见到一个非安全的页面，而这时候用户通常难以察觉或者已经中招。（病毒/钓鱼/骗流量等）

如果在QQ中传播该网址的话，仍然会仅以www.safe.com为唯一标识，并认定为受信任网站，以导致用户的点击与病毒的传播。

总结

在站点中通过URL参数做重定向，将直接给非法网站提供机会。

<%@ Page Language="C#" AutoEventWireup="true" CodeBehind="Default.aspx.cs" Inherits="WebAppUnsafeRedirect._Default" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml" >
<head runat="server">
    <title>Unsafe Redirect</title>
</head>
<script runat="server">
    private void btnLogin_Click(object sender, EventArgs e)
    {
        if (CheckUser(txtUsername.Text, txtPassword.Text))
        {
            string redirectUrl = Request.QueryString["ReturnUrl"] ?? "http://volnet.cnblogs.com?key=demo-unsafe-redirect";
            Response.Redirect(redirectUrl);
        }
    }
</script>
<body>
    <form id="form1" runat="server">
    <div>
        <asp:TextBox ID="txtUsername" runat="server"></asp:TextBox><br />
        <asp:TextBox ID="txtPassword" runat="server" TextMode="Password"></asp:TextBox><br />
        <asp:Button ID="btnLogin" runat="server" Text="Login" 
            onclick="btnLogin_Click" /><br />
    </div>
    </form>
</body>
<script runat="server">
    private bool CheckUser(string userName, string password)
    {
        if (userName == "User1" && password == "Password")
        {
            return true;
        }
        return false;
    }
</script>
</html>