asp.net – CSRF验证令牌:会话ID安全吗?
发布时间:2020-05-23 20:21:32 所属栏目:asp.Net 来源:互联网
导读:在asp.net中,我正在实现一个IHttpModule来缓解CSRF攻击.它在响应html中使用GET上的asp.net SessionID注入一个隐藏的表单参数.在POST上,它然后检查以确保隐藏参数的值与当前的SessionID匹配.据我所知,获取SessionID值的唯一方法是来自cookie,恶意站点无法读取
|
在asp.net中,我正在实现一个IHttpModule来缓解CSRF攻击.它在响应html中使用GET上的asp.net SessionID注入一个隐藏的表单参数.在POST上,它然后检查以确保隐藏参数的值与当前的SessionID匹配.据我所知,获取SessionID值的唯一方法是来自cookie,恶意站点无法读取或确定.有什么我可以忽略的吗? 解决方法这种方法是正确的.您需要确保通过GET操作可用的所有操作都是“安全的”(这是最佳实践),因为您只将XSRF保护应用于POST.对于额外的保险,您也可以在GET上使用它(通过向所有链接添加URL参数,并在每个GET请求中检查它),但这很麻烦. 如果你是特别偏执,你可以为备用ID选择一个不同的随机数.即使浏览器错误地使您的会话cookie可以访问另一个站点上的某些恶意Javascript,这也可以保护您.创建会话时,请选择另一个大随机数并将其存储在会话中. (编辑:安卓应用网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- 如何在ASP.NET Core 2.0中设置多个身份验证方案?
- asp.net-mvc-3 – 如何使用Asp.Net MVC 3和Razor具有视图特
- asp.net-mvc-2 – 如何在Asp.net MVC 2中使用Base ViewMode
- asp.net-mvc-3 – 剃刀引擎 – SEO元标签
- asp.net-mvc – 如果抛出自定义异常,则重定向asp.net mvc
- ASP.NET Web API,Web服务发现和客户端创建
- asp.net-mvc – 使用带有剃刀的html选择框
- ASP.Net MVC 4窗体与2提交按钮/操作
- ASP Classic – XML Dom
- 在ASP.NET中使用Visual Studio发布功能有什么好处?
推荐文章
站长推荐
- asp.net-mvc – 当我用fiddler检查时,VS2013 RTM
- webforms – ASP.Net Core 1.0是否支持WebForm项
- asp.net-mvc-4 – Dapper.net如何创建地图
- ASP.NET Core 1.0 WebSocket安装?
- 每个“HttpRequest”在ASP.NET中都有自己的线程吗
- asp.net – 如何在x64中使用WebDev.WebServer.ex
- asp.net-mvc-3 – 具有多个强类型部分视图的MVC
- asp.net mvc多个连接字符串
- asp.net-mvc-4 – 将ninject dependecyResolver用
- httphandler – AjaxToolkit IIS7 Asp.Net 4.0:
热点阅读