我正在尋找如何在.NET應用程序中創建自定義反CSRF令牌的建議。我們在大多數應用程序中使用ViewState,但我們希望通過幾次調用.asmx Web服務來實現自定義令牌保護。.NET中的自定義CSRF令牌
如何在.NET中創建安全自定義標記?
我正在尋找如何在.NET應用程序中創建自定義反CSRF令牌的建議。我們在大多數應用程序中使用ViewState,但我們希望通過幾次調用.asmx Web服務來實現自定義令牌保護。.NET中的自定義CSRF令牌
如何在.NET中創建安全自定義標記?
而不是創建一個,我建議使用免費提供,經過時間考驗,質量,現有的之一。
所有的ViewState首先不只是一些魔術棒,停止CSRF,如果有的話ViewState的是更多的攻擊比它防止源。 ViewState將prevent CSRF if you have ViewStateUserKey enabled。 (難道這使您的系統上???)
您可以閱讀CSRF Prevention Cheat Sheet,並選擇最適合您的方法。最常見的方法是random token included with every request。
謝謝。這將有所幫助。 – Trynity 2012-08-08 12:34:02