NWebsec的“潜在危险的重定向被检测到”与Facebook登录

Question

我已经阅读了NWebSec的文档，试图解决这个问题。

将web.config设置为

  <nwebsec>
<httpHeaderSecurityModule
  xsi:noNamespaceSchemaLocation="NWebsecConfig/HttpHeaderSecurityModuleConfig.xsd"
  xmlns="http://nwebsec.com/HttpHeaderSecurityModuleConfig.xsd"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> 
<redirectValidation enabled="false">
  <allowSameHostRedirectsToHttps enabled="false"/>
  <add allowedDestination="https://www.facebook.com/"/>
  <add allowedDestination="http://www.nwebsec.com/"/>
  <add allowedDestination="https://www.google.com/accounts/"/>
</redirectValidation>
  <securityHttpHeaders>
    <strict-Transport-Security max-age="365" includeSubdomains="true" httpsOnly="false" preload="true" />
  </securityHttpHeaders>
</httpHeaderSecurityModule>

​

但我还是

检测到了潜在危险的重定向。如果重定向是有意的，则将目标添加到配置中的白名单。违规重定向：type=code&

Answer 1

这是谷歌在回答之前的问题，答案是：https://docs.nwebsec.com/en/latest/nwebsec/Redirect-validation.html

总之，您必须将登录服务引用的URL白名单，如下所示：

   app.UseRedirectValidation(opts =>
        {
            opts.AllowedDestinations( "https://www.facebook.com/dialog/oauth");
            opts.AllowedDestinations("https://login.microsoftonline.com"); // Tested
        });