[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00890] Re: Shibboleth SPのreturnパラメータによるオープンリダイレクタ



NII 西村様

やはりShibboleth SPの設定にあったのですね。
私の検索が今ひとつだったようです。

無事に動作しました。どうもありがとうございました。

# Shibboleth SPを作るときには基本、適用しておいたほうが望ましい設定ですね。

細川

On 2015/01/21 11:41, Takeshi NISHIMURA wrote:
> 細川様
> NIIの西村です。
> 
> 返信遅くなりましてすみません。
> 最近のShibboleth SPであればredirectLimitというのがあります。
> https://meatwiki.nii.ac.jp/confluence/x/Gguc#id-設定・運用・カスタマイズ-オープンリダイレクタとなりうる問題の対処
> 
> こちらで所望の動作は実現できますでしょうか。
> 
> On 2015/01/19 20:38, Tatsumi Hosokawa wrote:
>> 慶應義塾ITC本部の細川です。
>>
>> Shibboleth SPのreturnパラメータは、シングルログアウトもどきをやるには便利なのですが、
>>
>> https://SPサーバ名/Shibboleth.sso/Logout?return=任意のURL
>>
>> というURLを叩くと任意のURLにジャンプできてしまい、
>> オープンリダイレクタとして、あまりよろしくない状態です。
>>
>> そこでとりあえずApacheのmod_rewriteを使って、
>>
>> RewriteEngine on
>> RewriteMap unescape int:unescape
>> RewriteCond ${unescape:%{QUERY_STRING}} !return=https://IdPのホスト名/idp/profile/Logout
>> RewriteCond ${unescape:%{QUERY_STRING}} return=
>> RewriteRule .* http://エラーで飛んでも怒られないサーバ/? [R=302,L]
>>
>> のようにIdPのログアウトURL以外にはリダイレクトされないようにしてみたのですが、
>> もっと正しい/簡単なやり方はあるのでしょうか?
>>
>> よろしくお願いいたします。
> 


-- 
慶應義塾ITC本部  細川達己  xxxxxxxx@xxxxxxxxxxxxxx
Tel. 03-5427-1685  Fax. 03-5427-1722