[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00886] Shibboleth SPのreturnパラメータによるオープンリダイレクタ



慶應義塾ITC本部の細川です。

Shibboleth SPのreturnパラメータは、シングルログアウトもどきをやるには便利なのですが、

https://SPサーバ名/Shibboleth.sso/Logout?return=任意のURL

というURLを叩くと任意のURLにジャンプできてしまい、
オープンリダイレクタとして、あまりよろしくない状態です。

そこでとりあえずApacheのmod_rewriteを使って、

RewriteEngine on
RewriteMap unescape int:unescape
RewriteCond ${unescape:%{QUERY_STRING}} !return=https://IdPのホスト名/idp/profile/Logout
RewriteCond ${unescape:%{QUERY_STRING}} return=
RewriteRule .* http://エラーで飛んでも怒られないサーバ/? [R=302,L]

のようにIdPのログアウトURL以外にはリダイレクトされないようにしてみたのですが、
もっと正しい/簡単なやり方はあるのでしょうか?

よろしくお願いいたします。

-- 
慶應義塾ITC本部  細川達己  xxxxxxxx@xxxxxxxxxxxxxx
Tel. 03-5427-1685  Fax. 03-5427-1722