我正在寻找有关如何在我的.NET应用程序中创建自定义反CSRF令牌的建议。我们在大多数应用程序中使用ViewState,但我们希望在几次调用.asmx Web服务时实现自定义令牌保护。
如何在.NET中创建安全的自定义令牌?
答案 0 :(得分:3)
首先,ViewState不仅仅是一个停止CSRF的魔棒,如果有任何ViewState是攻击的源头,它会阻止它。 ViewState将prevent CSRF if you have ViewStateUserKey enabled。 (这是否在您的系统上启用???)
您可以阅读CSRF Prevention Cheat Sheet并选择最适合您的方法。最常见的方法是random token included with every request。
答案 1 :(得分:1)
我建议使用免费提供的经过时间考验的优质现有产品,而不是创建一个。