我可以在configure saml2中配置注销时的ReturnUrl吗？

Question

我已经用sustainsys-saml2为一个MVC项目设置了SLO，它似乎可以工作，但问题是我们在注销后会返回到入口点。在我的dev-environment中，我使用的是来自sustainsys的stubidp，注销后我将直接获得stubidp的启动屏幕，这是可以的，但在以ADFS作为idp的测试环境中，它将自动再次登录。

我已经通过添加/AuthServices/Logout?ReturnUrl=/status来测试注销(状态页不需要登录)，它似乎工作，因为我将登陆状态页。相反，如果我将http://www.google.se设置为ReturnUrl，它将不起作用。所以我的问题是，是否可以在WebConfig中配置发送到ReturnUrl的注销内容，并且它是否必须始终与我的应用程序url相关？

亲切地问候埃里克

Answer 1

默认情况下只允许本地URL，以阻止开放的重定向攻击。

如果您希望允许特定的远程URL，您可以实现ValidateAbsoluteReturnUrl通知，以便为白名单中的URL返回true。不要通过简单地返回任何内容的true来“修复它”-这将导致一个开放的重定向漏洞。