Copyright © 2020-2023 www.SOT9.com. All Rights Reserved .
合作联系: QQ: 3217490875
AntiCSRF被设计成跨站点请求伪造(CSRF)模块,用于ASP.NET。
AntiCSRF使得它更容易为ASP.NET开发人员来保护自己免受跨站点请求伪造。您将不再需要手动添加和检查保护令牌保护自己免受CSRF攻击。
添加CSRF令牌到ASP.NET应用程序的神器出山:www.shenqi73.com正常推荐的方式是使用ViewState的一个ViewStateUserKey结合。这就要求启用视图状态和应用程序以某种方式识别用户的唯一的,通常是通过一个SessionID,而这又需要启用会话状态。
AntiCSRF没有这些要求,而是如果需要在用户的浏览器中启用Cookie,并使用一个临时的cookie,当浏览器关闭时清零,以确定一个用户和一个隐藏的表单字段进行CSRF令牌。
对一次单击攻击的的ViewStateUserKey方法保护。一键式攻击有时被错误地称为跨站点请求伪造微软的名字。然而,这是不完全正确的。一键式攻击是指CSRF攻击的一个子集 - 一个利用恶意ViewState来执行请求。
由于网络形式与ASP.NET使用ViewState的后背上,一个攻击者可以执行后,他们希望用户在不知不觉中进行,并记录在ViewState。由于ASP.NET会忽略对的Request.Form,并在Web控件的HTTP动词使用时Request.Params的方式,这要求往往可以通过GET。