我开发并部署了一个MVC5 .NET应用程序,该应用程序在Intranet中运行并使用LDAP对用户进行身份验证。由于MVC 5默认情况下为您提供了@ Html.Antiforgery(),因此我在每个中使用它们。但是在应用程序在多个节点中运行的生产中,当会话到期时,我遇到令牌问题等。
所以我想知道我是否应该首先使用它们,或者我是否可以删除它们,因为该网站在内部网上运行。
答案 0 :(得分:2)
是的,他们是。例如,恶意用户可以发送您的一名员工和包含明确GIF的电子邮件,其中包含指向您的某个Intranet页面的URL,或者员工可以访问包含发布到您的某个Intranet页面的javascript的网页。
明确的GIF攻击的缓解是设计您的Intranet站点,以便GET请求永远不会更新状态或执行敏感操作。
脚本/帖子攻击的缓解是在所有表单中包含CSRF令牌。