asp.net-mvc-3 – 应该使用HTTP引用来验证还是令牌验证来防止CSRF攻击?
发布时间:2020-12-30 22:46:22 所属栏目:asp.Net 来源:互联网
导读:我阅读了关于如何保护我的网站免受ASP.NET MVC Web应用程序中的CSRF攻击.他们提到了两种方法: 使用 @ Html.AntiForgeryToken()使用令牌验证和[ValidateAntiforgeryToken] 使用HTTP引用者验证如: public class IsPostedFromThisSiteAttribute : AuthorizeAtt
我阅读了关于如何保护我的网站免受ASP.NET MVC Web应用程序中的CSRF攻击.他们提到了两种方法: >使用< @ Html.AntiForgeryToken()>使用令牌验证和[ValidateAntiforgeryToken] public class IsPostedFromThisSiteAttribute : AuthorizeAttribute { public override void OnAuthorize(AuthorizationContext filterContext) { if (filterContext.HttpContext != null) { if (filterContext.HttpContext.Request.UrlReferrer == null) throw new System.Web.HttpException("Invalid submission"); if (filterContext.HttpContext.Request.UrlReferrer.Host != "mysite.com") throw new System.Web.HttpException ("This form wasn't submitted from this site!"); } } } 和 [IsPostedFromThisSite] public ActionResult Register(…) 所以我很困惑我是否应该使用他们两个来保护我的网站免受CSRF攻击,还是我可以选择这些方法之一? 解决方法检查引荐来源是有问题的.首先,HTTP规范专门允许客户端不发送引用字符串(出于各种隐私的原因).所以,你的一些客户可能不包括它.第二,引荐人字符串可能会被欺骗,如果攻击者有足够的技能,可以使他们看起来像他们为了执行成功的CSRF攻击而需要的.使用CSRF验证令牌是一种更强大的方法,是减轻对CSRF攻击的首选方法.您可以阅读OWASP CSRF Cheat Sheet这个原因. 我也会指出,没有理由不能同时做到这一点.防御深度(DiD)策略通常是可取的,所以攻击者需要击败多个独立的防御来执行成功的攻击.您可以执行弱引用者检查方法(如果客户提供引荐来源,请确保在对请求采取行动之前应该是什么;如果引用者不存在,请继续进行,如果它存在并正确)以及一个CSRF验证令牌.这样,如果客户端提供了参考信息,同时仍然使用更强大的验证令牌方法. (编辑:大庆站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- asp.net-mvc – 无法在Web服务器上启动调试. Web服务器找不
- asp.net-mvc – 如何组合两个dataTextFields的SelectList描
- ASP.NET TextBox LostFocus事件
- asp.net-mvc – 路由是在我的区域中找到控制器,但不是视图
- asp.net – 在剃刀中等同于End / Response.End?
- ASP.Net Forms身份验证在10分钟后注销用户
- asp.net-mvc – Url.Action生成查询字符串,以任何方式生成完
- asp.net-mvc-4 – WepApi控制器是否应该返回viewmodels
- asp.net – coldfusion和.net上的单点登录
- asp.net-mvc – MVC应用程序调试错误:viewstate MAC的验证