Jeo*_*uan 16 asp.net asp.net-mvc
防伪令牌接受盐值.是否有任何关于选择盐的安全问题,例如
另外,客户可以查看盐值吗?查看源代码,似乎是将salt值添加到cookie之前.
Lev*_*evi 40
反XSRF令牌已经包含嵌入的信息,该信息可以唯一地将其识别为特定(用户,应用程序)对."Salt"参数用于区分特定反XSRF令牌的意图.这并不是秘密.随意与世界分享.我希望我们为它选择了一个不同的名称,因为盐这个词有误导性.将其视为补充数据.:)
我们已经在封面下使用了适当的加密盐.有关更多信息,请参阅我在运行时加载ValidateAntiForgeryToken Salt值时的响应.
tl; dr:不要理会Salt属性.我们正在考虑将其从未来的版本中删除.
| 归档时间: |
|
| 查看次数: |
14003 次 |
| 最近记录: |