asp.net-mvc – ASP.NET MVC中的AntiForgeryToken是否防止所有CS

只要在每个受保护的页面上生成一个新的标记，<％= Html.AntiForgeryToken()％>
并始终确保在任何受保护的操作中检查，使用[ValidateAntiForgeryToken]

这将实现OWASP CSRF Prevention Cheat Sheet处讨论的同步器令牌模式。

为了使脚本成功地提出可接受的请求，它必须先获取表单并读取令牌，然后发布令牌。 Same Origin Policy将阻止它在浏览器中被允许。网站可以向另一个网站制作AJAX样式http请求;只对自己如果由于某种原因可以违反相同的起源政策，那么您将变得脆弱。

请注意，如果您有跨站点脚本漏洞，则攻击者可能会滥用xss漏洞来规避同一原始策略提供的保护(因为脚本现在正在从您自己的站点运行，因此SOP成功)。然后，注入的脚本可以愉快地读取并重新提交令牌。通过XSS实现CSRF保护的这种技术最近在一些蠕虫中很常见。基本上，如果您有XSS，您的CSRF保护是浪费时间，所以确保您不会受到任何影响。

另外值得注意的是Flash和Silverlight。这两种技术都不订阅相同的原始策略，而是使用跨域策略文件来限制对远程资源的访问。如果您在自己的网站上发布跨域策略xml文件，Flash / Silverlight脚本只能访问您网站上的资源。如果您发布此文件，只允许允许信任的第三方服务器的白名单，并且不允许*。

阅读更多关于CSRF at OWASP
参见：XSS Prevention Cheat Sheet