Autor Thema: Domino ?Logout&RedirectTo= fügt Server hinzu  (Gelesen 2547 mal)

Offline Flachmann

  • Senior Mitglied
  • ****
  • Beiträge: 254
  • Geschlecht: Männlich
Domino ?Logout&RedirectTo= fügt Server hinzu
« am: 28.08.17 - 12:30:27 »
Ich habe in einer XPage-Link diesen Code im href um die Anwendung zu beenden und eine andere, externe Seite aufzurufen:
Code
var sPath:string = context.getUrl().getAddress().replace(view.getPageName(), '');
sPath + '?Logout&RedirectTo=http://google.com';

Das erzeugte HTML sieht so aus:
Code
<a href="https://MyServer/Templates/MyDB.nsf?Logout&amp;RedirectTo=http%3A//google.com">abmelden</a>

Wenn ich den Link ausführe, wird aber immer mein Server davor gesetzt und die Seite wird natürlich nicht gefunden. Bei absoluten URLs ergibt das keinen Sinn. D.h. die Seite kann nicht geöffnet werden.
Zitat
https://MyServer/http%3A//google.com

Was ist die Ursache dafür und natürlich wie kann ich das beheben? Ich habe statt 'http://google.com' hinter dem RedirectTo schon 'google.com', '//google.com' versucht, aber es wird immer ein 'https://MyServer/' davor gesetzt. Ist das irgendeine Server-Einstellung?
Gruß,
  __________
  _/_
  /lachmann

Offline mezz

  • Junior Mitglied
  • **
  • Beiträge: 69
Re: Domino ?Logout&RedirectTo= fügt Server hinzu
« Antwort #1 am: 30.08.17 - 16:24:44 »
Wenn das einfach so ginge wäre das eine Sicherheitslücke (Open Redirect).
So fern die Urls auf die du umleiten willst fix sind könntest du dafür eine Redirect-Regel
für die Website einrichten. Dein RedirectTo verweist dann erstmal auf eine Interne Seite, bei deren
Aufruf greift das Pattern der Redirekt Regel und die leitet dann nach extern um.

perl -e 's,,q#$:%*?:!&=(:!>@.#.$/,e;y;!-./:-@[-]{-~; a-uJP;;print;'

Offline Flachmann

  • Senior Mitglied
  • ****
  • Beiträge: 254
  • Geschlecht: Männlich
Re: Domino ?Logout&RedirectTo= fügt Server hinzu
« Antwort #2 am: 31.08.17 - 17:16:43 »
Hmm, dann sind die vielen Beispiele in der Online-Hilfe, wie

Zitat
http://acmeserver/sessions.nsf?logout&redirectto=http://www.sales.com

falsch bzw. irre führend. Denn man kann damit nicht ohne weiteres http://www.sales.com aufrufen.    ::)

Ok, danke!
Gruß,
  __________
  _/_
  /lachmann

Offline mezz

  • Junior Mitglied
  • **
  • Beiträge: 69
Re: Domino ?Logout&RedirectTo= fügt Server hinzu
« Antwort #3 am: 01.09.17 - 08:21:23 »
Ich denke das hat IBM irgendwann mal rausgepatcht, möglich auch das es da wieder irgendeinen Notes-Ini Parameter gibt mit dem man das wieder aktivieren kann - aber das wäre ne blöde Idee... ;-)

Ich hab mal kurz gesucht und diese zwei Security Bulletins gefunden:

http://www-01.ibm.com/support/docview.wss?uid=swg21614077
https://www-01.ibm.com/support/docview.wss?uid=swg21963016

Ich denke mal mit eine davon bezieht sich auf dieses "Feature".

perl -e 's,,q#$:%*?:!&=(:!>@.#.$/,e;y;!-./:-@[-]{-~; a-uJP;;print;'

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz