我是否需要为WinForms提供CSRF令牌?

时间:2015-09-28 18:30:26

标签: c# winforms security login token

如果我们正在制作一个需要登录和密码(以及客户端和服务器)的信使程序,那么,我认为,我们实际上需要一个安全令牌,就像你在网上一样。

实际上,如果客户端具有发送到服务器以执行任何操作的有效安全令牌,那么令牌匹配的事实意味着任何操作(甚至"删除我的帐户")是有效(除非我们有一个非常好的黑客)。正确?

1 个答案:

答案 0 :(得分:0)

不,你不是。您只需要在使用Web浏览器访问的网页或http apis上进行csrf保护。这是一个混乱的副攻击,副手是浏览器。 https://en.m.wikipedia.org/wiki/Confused_Deputy

如果远程登录网址被其他使用浏览器的应用程序使用,那么您需要csrf保护。

您确实希望正确处理身份验证和授权。请使用适合您的服务器环境的框架。哈希密码并使用tls。