4

我们刚刚在我们使用 ASP.NET MVC 构建的应用程序上进行了一些渗透测试,并且返回的建议之一是 Form 中的 AntiForgeryToken 的值可以多次重新提交并且不会过期单次使用后。

根据围绕 Synchronizer Token Pattern的OWASP 建议:

“一般来说,开发者只需要为当前会话生成一次这个令牌。”

这就是我认为 ASP.NET MVC AntiForgeryToken 的工作方式。

万一我们不得不打仗,是否有可能让 AntiForgeryToken 在每次验证后重新生成一个新值?

4

2 回答 2

8

防伪令牌只是一个防 XSRF 令牌。特别是,它不是一次性使用的随机数。如果您的应用程序需要一次性随机数,则不能为此目的使用防伪令牌。对此没有内置功能。

于 2010-04-23T16:47:36.967 回答
-1

也许您可以使用 AntiForgeryToken 使用三参数构造函数

始终建议使用盐,但通过域和路径限制令牌将使您的令牌更安全且每页唯一。

如果你没有 XSS 漏洞,这个问题不会在你的网站上造成很大的混乱:) // 这是我写的吗?当然,我没有很好地阅读这个问题。

干杯!

于 2010-02-08T11:58:17.810 回答