-1
我閱讀了如何使用< @ Html.AntiForgeryToken()>在隱藏字段中生成加密值,該字段還將匹配另一個值作爲會話cookie存儲在用戶的瀏覽器中。令牌驗證方法如何工作以防止在asp.net中的CSRF mvc3
但我的問題是: - 1.將在會話cookie的值也進行了加密, 2.如果是那麼如何動作控制器上的[ValidateAntiforgeryToken]會知道如何解密這兩個值和匹配?
BR
A
回答
1
將在會話cookie的值也進行了加密
是。它代表一個令牌。它與用於隱藏字段的值相同。其實這是幫助你做2件事的Html.AntiForgeryToken()。它會生成令牌並將其呈現在隱藏字段中,並且還會設置具有相同值的Cookie。
如果是,那麼操作控制器上的[ValidateAntiforgeryToken]將如何知道如何解密這兩個值並匹配它們?
它使用經典WebForms用於加密/解密ViewState的相同加密/解密算法。這是一個基於機器密鑰的對稱加密算法。這就是爲什麼如果您在網上服務器場中運行,則應確保您在所有節點上具有相同的機器密鑰,因爲如果在Web場的一個節點上生成並加密了防僞造令牌,則可能無法在另一個節點上解密節點發送POST請求時,如果機器密鑰不匹配。
相關問題
- 1. 如何驗證CSRF令牌?
- 2. CSRF令牌驗證
- 3. 防止CSRF漏洞,CSRF的替代方法令牌
- 4. ASP.NET如何驗證防僞令牌
- 5. Yii CSRF令牌無法驗證
- 6. 無法在rails中驗證CSRF令牌的真實性
- 7. 無CSRF令牌的身份驗證
- 8. CSRF令牌不在STRUTS中工作1.1
- 9. 無法在Rails + React App中驗證CSRF令牌
- 10. PHP CSRF表單令牌+驗證建議
- 11. Rails 3.2.15「無法驗證CSRF令牌的真實性」雖然存在令牌
- 12. CSRF驗證失敗。請求中止,CSRF令牌丟失或不正確
- 13. CSRF 403禁止 - 無效的CSRF令牌
- 14. 如何在MVC3中公開身份驗證令牌
- 15. 在ASP.NET 5中手動防僞令牌創建和驗證
- 16. 」CSRF驗證失敗,CSRF令牌丟失或不正確。「 Django的
- 17. 身份驗證令牌在ASP.NET Web應用程序中無法正常工作
- 18. 如何防止從MVC3中未選擇的行進行驗證
- 19. 我應該使用HTTP引用者驗證還是令牌驗證來防止CSRF攻擊?
- 20. 警告:無法使用devise驗證CSRF令牌的真實性
- 21. Rails發佈無法驗證CSRF令牌的真實性
- 22. Rails 5 devise_token_auth無法驗證CSRF令牌的真實性
- 23. 無法驗證CSRF令牌的真實性
- 24. Devise token auth無法驗證CSRF令牌的真實性
- 25. 警告:無法驗證CSRF令牌的真實性
- 26. 的Rails 3:無法驗證CSRF令牌真實性
- 27. 無法使用tomcat驗證CSRF令牌的發佈請求
- 28. Rails的:無法驗證CSRF令牌真實性
- 29. 在基於令牌的身份驗證中,令牌如何驗證?
- 30. 如何驗證JQuery/AJAX引用來防止CSRF?