防止跨站点请求伪造（CSRF）

Question

如何在ASP.Net WebForm中防止跨站点请求伪造（CSRF）攻击。我想保护网站上的某些页面，以及如何防止攻击者从电子邮件中收到URL来执行CSRF。

Answer 1

您可以采取一些额外的预防措施。

1. 首先将您的用户身份验证和操作与IP和浏览器信息相关联。因此，在每个操作上，还要验证操作是否由具有所有条件的用户完成。
2. 加密一些关键数据/变量（CSRF必须更改）-而不是让变量仅通过SSL传递，而只能通过纯文本传递-
3. 始终使用加密的SSL cookie。 requireSSL=true.
4. 不允许跨应用重定向enableCrossAppRedirects=false
5. 使用一个数据库表，将每个身份验证Cookie与用户操作（如注销）连接，因此您知道该Cookie已被注销（可能是？），或者是无效的，甚至是-如果有效。
6. 阻止已发现攻击的高级阻止ip。 http://www.phoenixlabs.org/pg2/