我在Microsoft安全链接方面遇到了一个奇怪的问题.当我们向用户发送解锁邮箱时,Microsoft会更改带有安全链接的URL,当用户单击邮箱中的解锁链接时,出于安全原因,Microsoft首先在后台打开页面,用户被解锁,令牌无效.因此,当页面加载但用户已经解锁时,它显示解锁令牌无效.
有没有人有同样的问题?
谢谢.
我在Microsoft安全链接方面遇到了一个奇怪的问题.当我们向用户发送解锁邮箱时,Microsoft会更改带有安全链接的URL,当用户单击邮箱中的解锁链接时,出于安全原因,Microsoft首先在后台打开页面,用户被解锁,令牌无效.因此,当页面加载但用户已经解锁时,它显示解锁令牌无效.
有没有人有同样的问题?
谢谢.
修改身份验证终结点以处理预览流量,而无需刻录授权码.来自SafelLinks/Exchange Online Protection的请求将不包括与普通客户端请求相同的标头;请查看SafelLinks烧录了验证码的实例中的日志(log),以了解您可以拒绝的未经授权的请求类型.确保您的端点没有完成Head请求的身份验证流(这意味着如果请求的HTTP方法是Head,则返回405);如果SafelLinks也发出GET请求,那么在继续进行身份验证流之前验证UserAgent头之类的操作可能会起作用.除了涉及某种形式的单次使用令牌交换之外,您没有提供任何关于您的链接 struct 或身份验证策略的信息,但您还应该判断IETF RFC,以确认您正确地遵守了您正在使用的任何协议.
其他 idea :
href
个属性.从历史上看,他们的URL解析非常原始,很多人通过找到一些混淆安全链接匹配策略的东西(例如,https://halon.io/blog/fooled-microsofts-safe-link-technology)来绕过它.