asp.net-mvc-3 – 应该使用HTTP引用来验证还是令牌验证来防止CSRF攻击?
发布时间:2020-12-30 22:24:39 所属栏目:asp.Net 来源:互联网
导读:我阅读了关于如何保护我的网站免受ASP.NET MVC Web应用程序中的CSRF攻击.他们提到了两种方法: 使用 @ Html.AntiForgeryToken()使用令牌验证和[ValidateAntiforgeryToken] 使用HTTP引用者验证如: public class IsPostedFromThisSiteAttribute : AuthorizeAtt
我阅读了关于如何保护我的网站免受ASP.NET MVC Web应用程序中的CSRF攻击.他们提到了两种方法: >使用< @ Html.AntiForgeryToken()>使用令牌验证和[ValidateAntiforgeryToken] public class IsPostedFromThisSiteAttribute : AuthorizeAttribute { public override void OnAuthorize(AuthorizationContext filterContext) { if (filterContext.HttpContext != null) { if (filterContext.HttpContext.Request.UrlReferrer == null) throw new System.Web.HttpException("Invalid submission"); if (filterContext.HttpContext.Request.UrlReferrer.Host != "mysite.com") throw new System.Web.HttpException ("This form wasn't submitted from this site!"); } } } 和 [IsPostedFromThisSite] public ActionResult Register(…) 所以我很困惑我是否应该使用他们两个来保护我的网站免受CSRF攻击,还是我可以选择这些方法之一? 解决方法检查引荐来源是有问题的.首先,HTTP规范专门允许客户端不发送引用字符串(出于各种隐私的原因).所以,你的一些客户可能不包括它.第二,引荐人字符串可能会被欺骗,如果攻击者有足够的技能,可以使他们看起来像他们为了执行成功的CSRF攻击而需要的.使用CSRF验证令牌是一种更强大的方法,是减轻对CSRF攻击的首选方法.您可以阅读OWASP CSRF Cheat Sheet这个原因. 我也会指出,没有理由不能同时做到这一点.防御深度(DiD)策略通常是可取的,所以攻击者需要击败多个独立的防御来执行成功的攻击.您可以执行弱引用者检查方法(如果客户提供引荐来源,请确保在对请求采取行动之前应该是什么;如果引用者不存在,请继续进行,如果它存在并正确)以及一个CSRF验证令牌.这样,如果客户端提供了参考信息,同时仍然使用更强大的验证令牌方法. (编辑:甘南站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- ASP.Net WebAPI与Ajax进行跨域数据交互时Cookies数据的传递
- asp.net-mvc – 允许asp.net mvc 2控制器名称的URL中的连字
- asp.net-mvc – 保存后显示相同的页面
- 什么是在asp.net中301重定向更推荐的方法?
- asp.net – 脚本标签和链接标签进入asp:内容或外部
- asp.net – IIS Web Garden中的Singleton对象
- asp.net – WebForm_DoCallback定义
- asp.net html控件的File控件实现多文件上传实例分享
- asp.net-mvc – 将DropDownListFor绑定到字典
- 如何在ASP.NET中的GridView中定义CellPadding
推荐文章
站长推荐
- asp.net汉字转拼音和获取汉字首字母的代码
- asp.net-mvc – 如何在我自己的自定义助手中使用
- 如何在服务器端缓存ASP.NET自定义HttpHandler响应
- asp.net – 从我的GridView行返回一个对象
- asp.net-mvc – Mvc 3 Razor:使用部分部分视图?
- asp.net – 将ViewState移出页面?
- 在IIS / ASP.Net中的.NET 1.1应用程序中创建.NET
- asp.net-mvc – ASP.NET MVC视图模型的最佳做法
- asp-classic – 如何使用AES在VBScript中进行加密
- asp.net – 使用FormsAuthentication持久的cooki
热点阅读