我正在寻找有关如何在我的 .NET 应用程序中创建自定义反 CSRF 令牌的建议。我们在大多数应用程序中使用 ViewState,但我们希望在对 .asmx Web 服务的几次调用中实现自定义令牌保护。
如何在 .NET 中创建安全的自定义令牌?
Trynity
问问题
718 次
2 回答
3
首先,ViewState 不仅仅是阻止 CSRF 的魔法棒,如果 ViewState 是比它所阻止的更多攻击的来源的话。如果您启用了ViewStateUserKey, ViewState 将阻止 CSRF 。(这在您的系统上启用了吗???)
您可以阅读CSRF 预防备忘单并选择最适合您的方法。最常见的方法是每个请求都包含一个随机令牌。
于 2012-08-07T14:26:20.953 回答
1
我建议不要创建一个,而是使用免费提供的、经过时间考验的、质量好的、现有的之一。
于 2012-08-08T04:30:56.790 回答