[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00889] Re: Shibboleth SPのreturnパラメータによるオープンリダイレクタ
- Subject: [upki-fed:00889] Re: Shibboleth SPのreturnパラメータによるオープンリダイレクタ
- Date: Wed, 21 Jan 2015 11:41:56 +0900
- From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
細川様
NIIの西村です。
返信遅くなりましてすみません。
最近のShibboleth SPであればredirectLimitというのがあります。
https://meatwiki.nii.ac.jp/confluence/x/Gguc#id-設定・運用・カスタマイズ-オープンリダイレクタとなりうる問題の対処
こちらで所望の動作は実現できますでしょうか。
On 2015/01/19 20:38, Tatsumi Hosokawa wrote:
> 慶應義塾ITC本部の細川です。
>
> Shibboleth SPのreturnパラメータは、シングルログアウトもどきをやるには便利なのですが、
>
> https://SPサーバ名/Shibboleth.sso/Logout?return=任意のURL
>
> というURLを叩くと任意のURLにジャンプできてしまい、
> オープンリダイレクタとして、あまりよろしくない状態です。
>
> そこでとりあえずApacheのmod_rewriteを使って、
>
> RewriteEngine on
> RewriteMap unescape int:unescape
> RewriteCond ${unescape:%{QUERY_STRING}} !return=https://IdPのホスト名/idp/profile/Logout
> RewriteCond ${unescape:%{QUERY_STRING}} return=
> RewriteRule .* http://エラーで飛んでも怒られないサーバ/? [R=302,L]
>
> のようにIdPのログアウトURL以外にはリダイレクトされないようにしてみたのですが、
> もっと正しい/簡単なやり方はあるのでしょうか?
>
> よろしくお願いいたします。
--
西村健
国立情報学研究所 TEL:03-4212-2890