我有一个 Web 应用程序,我在其中使用 http-handlers 和 jQuery 进行 AJAX 调用。
现在的问题是用户可以在浏览器中键入由 jQuery 生成的相同 URL 并且正在执行操作。
我可以使用查询字符串发送一些令牌,然后在服务器端我可以在执行任何操作之前查找正确的令牌。
希望我正确地写了我的问题。
问问题
152 次
2 回答
0
您可能需要以类似于在 MVC 框架中处理它的方式来处理它。 这是一个类似的帖子,描述了一个潜在的解决方案。
于 2012-07-31T13:43:41.810 回答
0
上述技术称为
跨站请求伪造
风险影响
攻击者可以劫持登录的用户会话以执行恶意交易。
建议
建议为所有交易页面实现页面令牌(随机令牌作为请求中的附加参数)。这个令牌应该是随机生成的,并且对于每个用户来说应该是唯一的。
建议的网址是
http://www.owasp.org/index.php/CSRF_Guard
http://www.cgisecurity.com/csrf-faq.html
var cg = new CSRFGuard();
cg.SetupCSRFTokenNameAndValue();
SessionManager.CustomerConfig.CsrfTokenName = cg.CsrfTokenName;
SessionManager.CustomerConfig.CsrfTokenValue = cg.CsrfTokenValue;
非常感谢。
于 2012-10-10T04:28:50.957 回答