26

我们有一个 .NET C# MVC 应用程序,其中包含一些可以正常工作的表单。现在我们还有一个 ASP Classic vbscript 页面需要与这些表单进行交互,但是使用常规帖子我们得到一个错误,说 __RequestVerificationToken 没有设置。

因此,我们请求页面,然后将隐藏输入中的令牌和 cookie 存储在一个变量中,并通过 POST 请求将其发送很长。它有效。

但是看到绕过它这么简单,它到底有什么用呢?它几乎没有提供任何保护。

4

1 回答 1

27

这是一个防伪令牌(防止 CSRF 攻击)。它保证海报是获得表格的人。

它可以防止任何人伪造链接并由高级用户激活。

于 2012-12-27T08:18:36.527 回答