那些遇到过的问题

我应该在每个POST请求中使用ValidateAntiForgeryToken吗?

war*_*990 6 c# security asp.net-mvc

我有一堆页面HttpPost请求,我从我的同事那里扫描了我的网站Acunetix(我认为).结果说HTML form without CSRF protection (9).建议是Same-origin policy通过实现Token 来使用.我的问题 :

  1. 从性能与安全的角度来看,如果我Token在每个POST请求中使用它是否值得?我只TokenPOSTLogIn,Register,Transaction等敏感请求中使用.
  2. 这可能与标题无关,但是当我有很多页面请求时,为什么pentest软件Acunetix只列出我的几页CSRF可能存在的风险POST,检测模式如何工作?

任何帮助将不胜感激.

Bra*_*d C 2

是的,您应该ValidateAntiForgeryToken在每个 HttpPost 中包含该属性...假设您正在使用最佳实践并且 HttpPost 意味着请求有某种副作用。

有关此事的详细讨论,请参阅IT 安全 SE 网站上的此讨论。

看起来 Acunetix 只是在包含不存在令牌的表单的每个页面上报告此情况。请参阅他们的文档

归档时间:

查看次数:

401 次

最近记录:

10 年,3 月 前
相关归档
重载和覆盖 101
在我的应用中使用屏幕锁定 14
如何通过HTML5音频标签流式传输时保护音乐 11
ASP.NET MVC 5.1 C#OWIN facebook身份验证或登录请求生日,喜欢,公开个人资料,电话号码 10
Linq to Sql中的信号? 9
Java EE安全模型是否支持ACL? 8
确定真正调用程序集的方法 7
使用静态证书解密openssl数据包 6
防止ASP.Net MVC中的Cookie重播攻击 5
使用Google AppEngine Urlfetch而不是urllib2 4
难疑归档
如何检查对象是否是数组? 2581
如何在Javascript中的数组开头添加新的数组元素? 1476
在JavaScript中停止setInterval调用 1332
const和readonly有什么区别? 1269
如何初始化静态地图? 1084
如何在Vim中有效地处理多个文件? 1074
Ukkonen的简明英语后缀树算法 1065
Access-Control-Allow-Origin标头如何工作? 1050
如何检查对象是否在JavaScript中有密钥? 1047
如何旋转Android模拟器显示? 1031