我正在尝试将Antifirgery令牌实现到我的网站(ASP.NET而不是MVC)。我尝试了文章中提到的以下步骤。
preventing cross-site request forgery (csrf) attacks in asp.net web forms
实现后,我可以看到生成了_RequestVerificationToken cookie。我的问题是,
如何为每个请求和响应无效或生成新令牌?
其中一个团队正在使用Burp Suite测试应用程序,他们在Repeater中发布请求并能够从服务器获得200条成功的消息,而不是期望服务器应该抛出错误并且令牌在特定的请求/响应呼叫。
您能否建议更好的方法来实现这一目标?
答案 0 :(得分:0)
在提交表单之前修改或删除__RequestVerificationToken cookie无效。
- 我无法解释它比Steve Sanderson更好。
- 一旦设置了cookie,它就会在用户的浏览会话中重复使用。你可以加盐令牌,因此有不同的令牌 不同的形式。我没有看到任何理由不将它应用于所有帖子 形式和行动。
- 任何基于用户输入修改状态的操作(数据库,用户会话......)都应该使用此功能进行保护 技术。