那些遇到过的问题

如何确保用户提供的 url 不是本地路径?

Mat*_*agé 5 .net c# asp.net security

我正在编写一个 Web 应用程序(ASP.Net MVC、C#),它要求用户提供 RSS 或 Atom Feed 的 URL,然后我使用以下代码阅读:

var xmlRdr = XmlReader.Create(urlProvidedByUserAsString);
var syndicFeed = SyndicationFeed.Load(xmlRdr);
Run Code Online (Sandbox Code Playgroud)

在调试我的应用程序时,我不小心将其/something/like/this作为 url传递,并且收到一个异常,告诉我C:\something\like\this无法打开。

看起来用户可以提供本地路径,我的应用程序会尝试读取它。

我怎样才能使这个代码安全?仅检查urlhttps://http://在 url 的开头可能是不够的,因为用户仍然可以输入类似http://localhost/blah. 有没有其他方法,也许使用 uri 类来检查 url 是否指向网络?

编辑:我想我还需要阻止用户输入指向我网络上其他机器的地址,例如这个例子:http://192.168.0.6/http://AnotherMachineName/

小智 1

尝试:

new Uri(@"http://stackoverflow.com").IsLoopback
new Uri(@"http://localhost/").IsLoopback
new Uri(@"c:\windows\").IsLoopback
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

541 次

最近记录:

13 年,10 月 前
相关归档
实体框架中join子句中的一个表达式的类型不正确 54
如何在asp.net中实现"Access-Control-Allow-Origin"标头 33
"长期任务"是什么意思? 20
强制NCover 1.5.8使用像testdriven.net这样的v4框架吗? 19
什么是ASP.NET Webservice请求生命周期? 10
会话使用cookie吗? 9
如何创建"临时ASP.NET文件"(以及如何防止重复) 9
$('iframe').css('visibility','hidden')无法在Google Chrome中使用 8
在PHP文件中存储加密密钥的安全性 6
如何从安全网站访问不安全的 websocket? 5
难疑归档
HashMap和Hashtable之间的区别? 3604
如何在Windows上安装pip? 2469
使用__init __()方法理解Python super() 2366
我是否施放了malloc的结果? 2318
如何在不重新加载页面的情况下修改URL? 2221
如何在Python中复制文件? 2171
禁用Chrome缓存以进行网站开发 1563
编译用于高放射性环境的应用程序 1414
为什么文本文件以换行符结尾? 1375
忽略git项目中的任何"bin"目录 1172