Domino 9 und frühere Versionen > ND9: Entwicklung

Domino ?Logout&RedirectTo= fügt Server hinzu

(1/1)

Flachmann:
Ich habe in einer XPage-Link diesen Code im href um die Anwendung zu beenden und eine andere, externe Seite aufzurufen:

--- Code: ---var sPath:string = context.getUrl().getAddress().replace(view.getPageName(), '');
sPath + '?Logout&RedirectTo=http://google.com';
--- Ende Code ---

Das erzeugte HTML sieht so aus:

--- Code: ---<a href="https://MyServer/Templates/MyDB.nsf?Logout&amp;RedirectTo=http%3A//google.com">abmelden</a>
--- Ende Code ---

Wenn ich den Link ausführe, wird aber immer mein Server davor gesetzt und die Seite wird natürlich nicht gefunden. Bei absoluten URLs ergibt das keinen Sinn. D.h. die Seite kann nicht geöffnet werden.

--- Zitat ---https://MyServer/http%3A//google.com
--- Ende Zitat ---

Was ist die Ursache dafür und natürlich wie kann ich das beheben? Ich habe statt 'http://google.com' hinter dem RedirectTo schon 'google.com', '//google.com' versucht, aber es wird immer ein 'https://MyServer/' davor gesetzt. Ist das irgendeine Server-Einstellung?

mezz:
Wenn das einfach so ginge wäre das eine Sicherheitslücke (Open Redirect).
So fern die Urls auf die du umleiten willst fix sind könntest du dafür eine Redirect-Regel
für die Website einrichten. Dein RedirectTo verweist dann erstmal auf eine Interne Seite, bei deren
Aufruf greift das Pattern der Redirekt Regel und die leitet dann nach extern um.

Flachmann:
Hmm, dann sind die vielen Beispiele in der Online-Hilfe, wie


--- Zitat ---http://acmeserver/sessions.nsf?logout&redirectto=http://www.sales.com
--- Ende Zitat ---

falsch bzw. irre führend. Denn man kann damit nicht ohne weiteres http://www.sales.com aufrufen.    ::)

Ok, danke!

mezz:
Ich denke das hat IBM irgendwann mal rausgepatcht, möglich auch das es da wieder irgendeinen Notes-Ini Parameter gibt mit dem man das wieder aktivieren kann - aber das wäre ne blöde Idee... ;-)

Ich hab mal kurz gesucht und diese zwei Security Bulletins gefunden:

http://www-01.ibm.com/support/docview.wss?uid=swg21614077
https://www-01.ibm.com/support/docview.wss?uid=swg21963016

Ich denke mal mit eine davon bezieht sich auf dieses "Feature".

Navigation

[0] Themen-Index

Zur normalen Ansicht wechseln