ASP.NET - 请求/响应
问题描述:
我想实现Antifirgery令牌到我的网站(ASP.NET MVC不)后失效防伪标记。我尝试了文中提到的以下步骤。ASP.NET - 请求/响应
preventing cross-site request forgery (csrf) attacks in asp.net web forms
实施后,我可以看到生成_RequestVerificationToken的cookie。我的问题是,
如何失效或产生为每个请求和响应新的令牌?
其中一个团队正在使用Burp Suite来测试应用程序,并且他们在Repeater中发布请求,并且能够从服务器获得200条成功的消息,而不是期望的是服务器应该抛出错误并且令牌应该在一个特定的请求/响应调用。
能否请您提出实现这个更好的办法?
答
通过在提交表单之前修改或删除__RequestVerificationToken cookie来使其无效。
- 我不能解释它比Steve Sanderson更好。
- 一旦设置cookie,它是通过用户的浏览会话重用。您可以使用不同的令牌,因此可以使用不同的令牌。我看不出有任何理由不把它应用到所有岗位 形式和行动。
- 基于用户输入(数据库,用户会话,...)来修改状态的任何动作绝对应该使用这种 技术来保护。