lichdr
-
CAS的service参数验证
CAS登录成功后会跳转到service参数提供的url,目前系统中这个参数是没有任何验证的,service参数随便赋一个网址就可以。为安全起见现在对这个service要作一下限制,比如只能是同源url才可以重定向。 下面是基于CAS 3.5.2对系统的改造过程。 系统比较老旧,之前也作过CAS方面的改造,基本思路是从login-webflow.xml中找到切…
CAS登录成功后会跳转到service参数提供的url,目前系统中这个参数是没有任何验证的,service参数随便赋一个网址就可以。为安全起见现在对这个service要作一下限制,比如只能是同源url才可以重定向。 下面是基于CAS 3.5.2对系统的改造过程。 系统比较老旧,之前也作过CAS方面的改造,基本思路是从login-webflow.xml中找到切…
