Request.Form potencialmente peligroso en WSFederationAuthenticationModule.IsSignInResponse

Question

En mi sitio MVC3 evité establecer requestValidationMode = "2.0" con el nuevo atributo ValidateInput, pero ahora estoy intentando cambiar a WIF para la autenticación, y cuando el STS redirige De regreso a mi sitio, obtengo la excepción porque WSFederationAuthenticationModule.IsSignInResponse llama al Request.Form en lugar de Request.Unvalidated().Form ... ¿hay alguna manera de solucionar esto sin ir a requestValidationMode = "2.0" (que realmente no quiero hacer).

Aquí está el seguimiento de la pila, para que pueda ver lo que quiero decir. El método de mi Controlador nunca se llama realmente.

[HttpRequestValidationException (0x80004005): A potentially dangerous Request.Form value was detected from the client (wresult="<trust:RequestSecuri...").] 
    System.Web.HttpRequest.ValidateString(String value, String collectionKey, RequestValidationSource requestCollection) +8755668 
    System.Web.HttpRequest.ValidateNameValueCollection(NameValueCollection nvc, RequestValidationSource requestCollection) +122 
    System.Web.HttpRequest.get_Form() +114 
    Microsoft.IdentityModel.Web.WSFederationAuthenticationModule.IsSignInResponse(HttpRequest request) +21 
    Microsoft.IdentityModel.Web.WSFederationAuthenticationModule.CanReadSignInResponse(HttpRequest request, Boolean onPage) +121 
    Microsoft.IdentityModel.Web.WSFederationAuthenticationModule.OnAuthenticateRequest(Object sender, EventArgs args) +78 
    System.Web.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute() +148 
    System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously) +75 

Answer 1

La forma correcta de hacer frente a esto es agregar específica validador a HttpRuntime, que sabe cómo detectar tokens de seguridad válidos.

vistazo a cualquiera de los ejemplos aquí: http://claimsid.codeplex.com/releases/view/62929

He aquí un extracto de uno de ellos (muestra # 5 t ser específica que es también una aplicación MVC):

namespace FShipping 
{ 
    using System; 
    using System.Web; 
    using System.Web.Util; 
    using Microsoft.IdentityModel.Protocols.WSFederation; 

    public class WsFederationRequestValidator : RequestValidator 
    { 
     protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex) 
     { 
      validationFailureIndex = 0; 
      if (requestValidationSource == RequestValidationSource.Form && 
       collectionKey.Equals(WSFederationConstants.Parameters.Result, StringComparison.Ordinal)) 
      { 
       if (WSFederationMessage.CreateFromFormPost(context.Request) as SignInResponseMessage != null) 
       { 
        return true; 
       } 
      } 

      return base.IsValidRequestString(context, value, requestValidationSource, collectionKey, out validationFailureIndex); 
     } 
    } 
} 

Aquí está el config:

<system.web> 
... 
    <httpRuntime requestValidationType="FShipping.WsFederationRequestValidator" /> 
</system.web> 

Answer 2

Creo que también se observó este mismo error en algún momento, pero si mal no recuerdo que fue en algún código andamios experimental o de prueba, por lo que no tienen un requisito de seguridad estricta allí.

La información oficial que pude encontrar es que se trata de un problema conocido en WIF: consulte la sección "ASP.NET detecta tokens de federación pasiva como posible ataque de seguridad" al comienzo de the WIF Known Issues page. Dicen que hay que configurar validateRequest="false" en web.config, o la directiva equivalente ASP.NET Page para hacer esto a nivel de página.

Para que intente configurar esto solo en una directiva Page en la 'página de inicio' de su aplicación, no estoy seguro, pero podría funcionar.

Nota que no hablan de requestValidationMode="2.0" en el WIF página de problemas conocidos, pero a juzgar por this TechNet wiki page esta configuración adicional es necesaria para ASP.NET 4.