那些遇到过的问题

是否有可能在每次验证后使ASP.NET MVC中的AntiForgeryToken值发生变化?

jmc*_*mcd 4 security asp.net-mvc antiforgerytoken

我们刚刚对使用ASP.NET MVC构建的应用程序进行了一些渗透测试,其中一个建议是表单中AntiForgeryToken的值可以多次重新提交并且不会过期一次使用后.

根据OWASP关于同步器令牌模式的建议:

"一般来说,开发人员只需要为当前会话生成一次此令牌."

这就是我认为ASP.NET MVC AntiForgeryToken的工作方式.

如果我们必须打仗,是否有可能在每次验证后使AntiForgeryToken重新生成新值?

Lev*_*evi 8

防伪令牌只是一个反XSRF令牌.特别是,它不是一次性使用的随机数.如果您的应用程序需要一次性使用nonce,则不能将防伪令牌用于此目的.没有内置功能.

归档时间:

查看次数:

2098 次

最近记录:

13 年,5 月 前
相关归档
在ASP.NET 4.5项目中使用wwwroot文件夹(ASP.NET Core样式) 24
PHP中严格的HTML验证和过滤 17
使用Angular 2设置ASP.NET MVC 4或5项目 16
ASP.NET MVC为编辑和显示模式应用不同的DisplayFormat 10
如何更新ModelState? 9
如何向Stimulsoft发送参数? 9
TryUpdateModel在ASP.NET MVC 3单元测试中抛出NullReferenceException 8
如何加密/解密appsettings.json中的连接字符串? 6
使用Phonegap(或等效的)包装的HTML5应用程序进行身份验证 5
PHP页面安全性损坏 1
难疑归档
如何检查字符串是否包含JavaScript中的子字符串? 7430
在JavaScript中深度克隆对象的最有效方法是什么? 5181
我应该使用Vagrant还是Docker来创建一个孤立的环境? 2049
什么是尾递归? 1602
Apache Camel究竟是什么? 1310
在Android Studio中重命名包 1252
生成0到9之间的随机整数 1224
检查Bash shell脚本中是否存在输入参数 1223
将先前的提交分解为多个提交 1113
网格布局上的手势检测 1076