[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00886] Shibboleth SPのreturnパラメータによるオープンリダイレクタ
- Subject: [upki-fed:00886] Shibboleth SPのreturnパラメータによるオープンリダイレクタ
- Date: Mon, 19 Jan 2015 20:38:01 +0900
- From: Tatsumi Hosokawa <xxxxxxxx@xxxxxxxxxxxxxx>
慶應義塾ITC本部の細川です。
Shibboleth SPのreturnパラメータは、シングルログアウトもどきをやるには便利なのですが、
https://SPサーバ名/Shibboleth.sso/Logout?return=任意のURL
というURLを叩くと任意のURLにジャンプできてしまい、
オープンリダイレクタとして、あまりよろしくない状態です。
そこでとりあえずApacheのmod_rewriteを使って、
RewriteEngine on
RewriteMap unescape int:unescape
RewriteCond ${unescape:%{QUERY_STRING}} !return=https://IdPのホスト名/idp/profile/Logout
RewriteCond ${unescape:%{QUERY_STRING}} return=
RewriteRule .* http://エラーで飛んでも怒られないサーバ/? [R=302,L]
のようにIdPのログアウトURL以外にはリダイレクトされないようにしてみたのですが、
もっと正しい/簡単なやり方はあるのでしょうか?
よろしくお願いいたします。
--
慶應義塾ITC本部 細川達己 xxxxxxxx@xxxxxxxxxxxxxx
Tel. 03-5427-1685 Fax. 03-5427-1722