在asp.net中,我正在实现一个IHttpModule来缓解CSRF攻击.它在响应html中使用GET上的asp.net SessionID注入一个隐藏的表单参数.在POST上,它然后检查以确保隐藏参数的值与当前的SessionID匹配.据我所知,获取SessionID值的唯一方法是来自cookie,恶意站点无法读取或确定.有什么我可以忽略的吗?
asp.net security csrf
asp.net ×1
csrf ×1
security ×1