asp.net和跨站点请求伪造

时间:2013-03-12 15:36:50

标签: asp.net security protect-from-forgery

我们最近在应用程序中运行了一个Appscan aganist,并在几页上报告显示: 以下更改已应用于原始请求:

  • 将HTTP标头设置为“http://bogus.referer.ibm.com” 推理:
    在不同的会话中发送了两次相同的请求,并收到了相同的响应。 这表明没有任何参数是动态的(会话标识符仅在 cookie)因此应用程序容易受到此问题的影响。

我对如何处理这个问题感到有点困惑,我应该只看看Request.UrlReferrer并确保它与URL中的内容相同,还是有更好的方法来处理它?<​​/ p>

感谢。

1 个答案:

答案 0 :(得分:2)

Referrer标头很容易被欺骗。您需要使用CSRF令牌(我推荐同步器令牌模式)来证明请求的起源。有an awesome resource at OWASP你绝对应该阅读。祝你好运!

相关问题
最新问题