asp.net-mvc – 是否有可能在每次验证后使ASP.NET MVC中的AntiFo
发布时间:2020-12-16 06:52:53 所属栏目:asp.Net 来源:网络整理
导读:我们刚刚对使用ASP.NET MVC构建的应用程序进行了一些渗透测试,其中一个建议是表单中AntiForgeryToken的值可以多次重新提交并且不会过期一次使用后. 根据同步器令牌模式的OWASP recommendations: “一般来说,开发人员只需要为当前会话生成一次此令牌.” 这就
我们刚刚对使用ASP.NET MVC构建的应用程序进行了一些渗透测试,其中一个建议是表单中AntiForgeryToken的值可以多次重新提交并且不会过期一次使用后.
根据同步器令牌模式的OWASP recommendations: “一般来说,开发人员只需要为当前会话生成一次此令牌.” 这就是我认为ASP.NET MVC AntiForgeryToken的工作方式. 如果我们必须打仗,是否有可能在每次验证后使AntiForgeryToken重新生成新值? 解决方法
防伪令牌只是一个反XSRF令牌.特别是,它不是一次性使用的随机数.如果您的应用程序需要一次性使用nonce,则不能将防伪令牌用于此目的.没有内置功能.
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- 如何在asp.net mvc 2中获取Html.EditorForModel()方法的tex
- asp.net-mvc – 为什么Microsoft堆栈说成本高昂?
- 即使通过自定义服务器端验证仍然触发ASP.NET按钮单击事件也
- asp.net-core – 在VS 2015 RC中,编译保存不适用于ASP.NET
- asp.net – Sitecore – 以编程方式清除用户的缓存
- asp.net – 使用X-Forwarded-For Windows Filter for Windo
- asp.net – Facebook评论审核困难
- asp.net-web-api – 在MVC 6中不可用的ResponseType
- asp.net-mvc – ASP.NET MVC是否使用常规工具箱控件?
- asp.net-mvc – 无法导出Kendo Grid中的隐藏列
推荐文章
站长推荐
- asp.net-mvc-3 – ASP.NET MVC3 Razor:没有@if或
- asp.net-mvc – StackExchange站点如何关联用户帐
- asp.net-mvc – Kendo UI窗口 – 阻止加载以前的
- asp.net – 在向下滚动页面后,对于webkit浏览器,
- asp.net-mvc – 首次使用ASP.NET MVC时的主要风险
- asp.net-mvc – ASP.NET MVC做浏览器刷新让TempD
- asp.net – 在后面的代码中无法识别嵌套的Repeat
- asp.net-mvc – 在VS2015中使用gulp在ASP.NET 4.
- asp.net – 如何使用Forms身份验证保留默认页面?
- 使用Ninject绑定WebApi过滤器属性
热点阅读