这是一个理论问题。
有人可以,如果他/她知道我的帖子操作(网址,参数...),请加载我的一个网址,解析防伪标记值,然后通过ajax调用之前提到的帖子并获得成功?
或者,这些令牌是否受到某种程度的保护?我真的不知道因为我刚刚开始MVC,我想确保我的安全。
答案 0 :(得分:4)
令牌可以缓解CSRF attacks,因此如果攻击者能够获取特定URL的令牌,请将其放入网页并让您专门在指定的时间间隔内访问该网页,那么他们理论上可以对你进行成功的CSRF攻击。这涉及到许多小概率,这将是一个相对低效的攻击,因为在简单的情况下它只有一个目标。
如果我没记错(目前无法检查),令牌包含特定于一个用户的加密数据,有效提交窗口的日期时间以及可选的静态盐字符串。此标记值将放入表单中的隐藏输入中,也放入cookie中。提交表单时,每个值都会被解密,并且各个数据的值会进行比较。如果它们相同,则认为该请求来自已知来源。
在我看来,框架实现是一个非常好的实现,对大多数应用程序来说都很好。