Art*_*aru 23 csrf antiforgerytoken asp.net-mvc-3
UPD:在security.stackexchange.com上提出同样的问题,我得到的答案是不同的.请关注那里,以获得正确的答案!
我正在运行一个相当大的网站,每天都有成千上万的访问量,而且用户群相当大.
自从我开始迁移到MVC 3以来,我一直在以多种形式放置AntiForgeryToken,修改受保护的数据等.
其他一些形式,如登录/注册现在也使用AntiForgeryToken,但我首先对它们的需求感到怀疑,原因有两个......
可能还有其他原因可以解释为什么人们会在表单中使用/不使用令牌.我是否认为在每个帖子中使用令牌都是错误的/矫枉过正的,如果是这样的话 - 哪种表格会从中受益,哪些人肯定不会受益?
Dar*_*rov 13
防伪令牌在用户尚未经过身份验证的站点的公共部分(例如登录和注册表单)中是无用的.CSRF攻击的工作方式如下:
因此,您可以在站点的经过身份验证的部分上使用防伪标记,其中包含可能以某种方式修改用户状态的操作.
备注:检查Referer标头以确定请求来自您的站点是不安全的.任何人都可以伪造一个请求并欺骗这个标题.
| 归档时间: |
|
| 查看次数: |
10947 次 |
| 最近记录: |