1

AntiForgeryToken 如何失效?我已设置此令牌以防止对我的登录页面进行 CSRF 攻击,并已使用提琴手对其进行了检查。当我调用 GET 方法时,令牌生成为隐藏字段__RequestVerificationToken。当我发布登录数据时,是否应该在下一次 GET 调用时更改此令牌?我用 fiddler 捕捉到这个值与发布数据和重新发布/重播请求,这很有效。这是良好的行为,还是不应该发生这种重播,因为在我离开该表格后令牌值不应该是有效的。

提前致谢。

4

1 回答 1

2

令牌绑定到会话 cookie;当会话消失并且 cookie 消失时,令牌将变为无效。在 Fiddler 中重放工作的原因是 Fiddler 正在捕获(并重放)会话 cookie 和表单令牌。

您可以通过在重放之前从 Fiddler 中删除请求的Cookie标头来模拟会话到期。然后服务器应该拒绝表单的 __RequestVerificationToken 字段。

于 2013-02-20T22:51:48.977 回答