这是一个理论问题。
如果他/她知道我的所有帖子操作(URL、参数...),是否可以加载我的 URL 之一,解析出防伪令牌值,并通过 ajax 调用前面提到的帖子并获得成功?
或者,这些令牌是否受到某种保护?我真的不知道,因为我真的刚刚开始 MVC,我想确保我的安全。
问问题
4170 次
1 回答
4
令牌是为了缓解CSRF 攻击,因此如果攻击者能够获取特定 URL 的令牌,将其放入网页并让您在指定的时间间隔内专门访问该网页,那么他们理论上可以携带对您进行成功的 CSRF 攻击。这涉及到很多小概率,这将是一种相对低效的攻击,因为在简单的情况下它只有一个目标。
如果我没记错的话(目前无法检查),令牌包含特定于一个用户的加密数据、有效提交窗口的日期时间和可选的静态盐字符串。该令牌值被放入表单中的隐藏输入中,也放入 cookie 中。提交表单时,每个值都被解密并比较各个数据的值。如果它们相同,则认为请求来自已知来源。
当然,在我看来,框架实现是一个非常好的实现,并且对于大多数应用程序来说都很好。
于 2011-08-31T08:53:59.750 回答