Ken*_*n D 3 security asp.net-mvc csrf asp.net-mvc-3
我正在使用带有Razor视图引擎的MVC3.
我需要为每个用户生成不同的AntiForgeryToken.
我正在考虑生成一个唯一的salt值,并在用户注册时将其存储在users表中,并使用该salt生成令牌,但是如何将该salt值绕过该属性ValidateAntiForgeryToken.我想我需要定义一个自定义属性,但我不知道如何去(通过访问用户信息来使用salt值).
提前致谢.
如果你想要一个不同的盐,那么你需要从现有的代码中推出自己的代码或者想出一个新的方案.
但请记住,这些令牌已经是用户特定的.以用户A身份登录的用户无法使用用户B会话中的令牌.
还要注意它们不是一次性使用令牌,所以你想在这里阻止什么?这样,用户A无法为用户b生成一个?再次 - 请记住,用户a未以用户b身份登录,因此如果伪造,则当前完成的检查将失败.
| 归档时间: |
|
| 查看次数: |
541 次 |
| 最近记录: |