程序员经验分享-hwhale

在 Azure AD B2C 中使用状态参数容易遭受开放重定向漏洞吗?

2023-12-13

如果我使用State参数来控制RedirectURI如此处所述:“为什么重定向 URL 在 Azure AD B2C 中是完全限定的?”,我不会容易受到打开重定向漏洞?

我不是刚刚把问题从RedirectURI to the State范围?


状态参数可用于控制应用程序再次启动后的重定向。令牌只会到达一处(由重定向 URL 指定)。之后,应用程序可以安全地控制令牌,并且可以查看状态参数来确定用户/令牌是否应该前往不同的地方。这在各种场景中都很有用,例如您正在创建基于新闻的应用程序,并且您需要知道他们尝试从哪篇文章登录。然后他们将被重定向回同一篇文章,以便他们可以继续阅读。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

azureadb2c

在 Azure AD B2C 中使用状态参数容易遭受开放重定向漏洞吗? 的相关文章

  • Azure B2C。使用 Azure 门户编辑自定义属性

    我已在 Azure 门户中创建了 Azure B2C 应用程序 我只需要为此应用程序使用登录策略 无需注册 我需要创建两种用户 Simple User and Admin 为此 我创建了自定义字符串属性 Role 它通过令牌作为登录策略的声

  • 为 Azure AD B2C 创建测试用户

    有没有办法以编程方式创建用户以使用 Azure AD B2C 进行测试 据我所知 创建用户的唯一方法是通过网站注册 我错过了什么吗 是的 Azure AD B2C Graph API 允许对用户进行 CRUD 操作 您可以通过向 users

  • Azure AD B2C 在注册策略中预填充自定义属性

    从 Web 应用程序 ASP Net MVC 调用时 Azure AD B2C 是否支持在注册策略中预填充自定义属性 我们可以创建自定义 SignUp 属性 但我们无法在文档中找到如何传递值来填充自定义属性的规范 如果开箱即用不支持此功能

  • Azure Active Directory B2C 自定义邀请策略 - 在步骤之间传递自定义声明

    我通过此示例实施了邀请策略 通过向用户发送电子邮件链接来邀请用户访问该网站 https github com azure ad b2c samples tree master policies invite https github com

  • 在本地开发 Azure 函数

    我领导着一个由天蓝色函数开发人员组成的大型团队 因此 微软引用的大多数使用 azure Web 界面的示例对我来说不起作用 我正在使用模拟器在本地开发Azure功能以节省一些成本 我通过 Visual Studio 将所有功能发布到我的集成

  • Azure B2C:检查本地帐户创建期间是否存在另一个声明

    除了通常根据所使用的电子邮件当前是否存在创建帐户之外 我想知道如何检查 Azure Active Directory 中是否不存在另一个声明值 例如 对于我们的应用程序 创建帐户的任何人都必须提供组织名称 一旦他们注册 他们就是其组织群组的

  • 如何解码 Azure B2C cookie

    我很难让我的 Azure B2C 续订程序正常工作 因此 如果当我访问 x ms cpim sso myApp onmicrosoft com 0 下的登录 URL login microsoftonline com 时我的 cookie

  • AADB2C90077:用户没有现有会话,请求提示参数的值为“无”

    我有一个 Angular 应用程序 它使用MSAL js https github com AzureAD microsoft authentication library for js当我尝试获取访问令牌时 我收到以下错误 AADB2C9

  • 为什么重定向 URL 在 Azure AD B2C 中是完全限定的?

    为什么重定向网址 https learn microsoft com en us azure active directory b2c active directory b2c app registration register a web

  • 如何让用户在 Azure AD B2C 中注册后返回登录页面?

    当用户在系统中注册时 他会自动重定向到我们的应用程序作为登录用户 我希望在注册后 他会被重定向到签名页面 我想要这种行为 因为用户在访问系统之前需要得到管理员的批准 我使用自定义策略 我尝试使用 SM Noop 会话管理器 但它不起作用 有

  • Azure AD B2C 在用户中导入

    我需要创建一个 B2C 目录并使用该图从旧的基于 NET 会员资格的应用程序导入成员 所以我遵循了这个教程https learn microsoft com en us azure active directory b2c active d

  • Azure B2C Graph API - 强制用户在下次登录时更改密码[重复]

    这个问题在这里已经有答案了 我希望使用 graph api 来强制用户在下次登录时重置他 她的密码 如果我发送用户对象 ID 以及 forceChangePasswordNextLogin true我得到了成功的回复 但是 用户的帐户实际上

  • 如何在不注册或登录网络应用程序的情况下获取访问令牌?

    我在 Web API 上使用 azure Graph API 创建了 b2c 用户 因为我必须在服务器端而不是客户端 例如 Web 应用程序或移动应用程序 创建用户 我做了链接中的步骤 https learn microsoft com e

  • Azure DevOps 服务连接到 B2C 租户?

    我正在尝试建立从 Azure DevOps 到我的 Azure B2C 租户的服务连接 但遇到了问题 我开始认为这是不可能的 我与主 Azure 订阅 租户有多个服务连接 但特别想要与我的 B2C 租户建立连接 以便我可以使用 Terraf

  • 具有多重身份的B2C用户

    在 Azure B2C 中 有多个身份提供商 在本示例中 我将使用本地帐户和 Google 帐户 新用户使用电子邮件地址注册本地帐户 电子邮件受保护 cdn cgi l email protection 他们使用该网站 下次返回时 他们决定

  • 如何在 Azure AD B2C 中启用电子邮件验证

    如何在 B2C 中使用自定义策略启用电子邮件验证 为了对其进行逆向工程 我尝试在内置策略中禁用它并下载该策略 我尝试将该元数据项添加到我自称的技术配置文件中 但这不起作用 逆向工程测试 内置策略

  • 使用 Xamarin 和 Azure AD B2C 设置自定义选项卡的样式

    我效仿了验证示例 https developer xamarin com samples xamarin forms WebServices TodoAzureAuthADB2CClientFlow 将自定义 Chrome 选项卡与 Azu

  • msal.js 访问令牌中的自定义声明

    我使用 msal js 保护了我的 Angular 7 应用程序 我创建了一个自定义策略 该策略返回 id token 和 access token 中的自定义声明类型 为了实现这一目标 我一直在遵循本教程 https learn micr

  • 如何结合 AD B2C(MSAL) 和 CosmosDB

    我在我的 Xamarin 表单应用程序中使用 appcenter Auth 和 Data 但微软正在关闭这些服务 所以我现在需要自己做 Atm 这两个允许我使用 ADB2C 验证我的用户 然后授予他们访问 Cosmos 数据库中自己和共享内

  • 根据AADB2C属性值在AAD中查找用户

    如果我在 Azure AD B2C 中有一个基于 Azure AD 企业 身份创建的用户 如下所述 https learn microsoft com en us azure active directory b2c active dire

随机推荐

热门标签