2回答
我的问题是关于XSS/CSRF攻击的ASP.NET MVC 5。但此令牌只能与POST请求一起使用。根据我的测试团队,为了防止CSRF攻击,每个请求都应该有一个令牌号,并且他们只要求有POST请求,而不是一个GET请求。所以我的问题是:
我们是否需要只为了防止CSRF攻击才
浏览 6提问于2014-07-07得票数 1
回答已采纳
如何在没有ASP.NET MVC的情况下使用ASP.NET Web来使用防伪令牌?Stephen有一篇文章“用ASP.NET MVC防止跨站点请求伪造攻击”,在中.但是他的解决方案包括MVC/Razor,在我的前端,我不打算包括它。后来,我解决了另一个问题,“相同的起源政策”:,这是否也是防止CSRF的解决方案?我不这样认为。
浏览 0提问于2014-08-09得票数 11
回答已采纳
如何防止CSRF (跨站点请求伪造)在ASP.NET WebForms中的攻击?
在[ValidateAntiForgeryToken] MVC中有类似于ASP.NET的东西吗?
浏览 0提问于2010-07-06得票数 9
ViewStateUserKey似乎是防止某些CSRF攻击的一个非常有用的特性。为什么在asp.net应用程序中默认不启用它?
浏览 2提问于2012-08-30得票数 0
1回答
我在这里看到的一件事是:和虽然提交给/refresh_token的表单可以工作并返回一个新的访问令牌,但如果攻击者使用的是HTML,则无法读取响应
我正在努力了解如何防止CSRF的攻击,因为我认为我假设这是存储在HttpOnly cookie中(如第一篇文章所做的),因为CSRF不需要注入任何javascript和cookie it httpOnly,如果J
浏览 4提问于2021-01-24得票数 6
当我考虑使用JavaScript可以完成的攻击时,我发现XSS和CSRF是通过纯JavaScript可以实现的两种攻击。我通过清理传输到服务器的文本来防止XSS攻击。通过使用CSRF令牌并将其保存到cookie中,并将该cookie值与泛型Handler中Ajax请求中的令牌进行比较,可以防止CSRF攻击。这两个都很好。</a>
现在,当他单击这个注入的&#
浏览 2提问于2014-09-23得票数 2
1回答
为了防止CSRF攻击,需要在我们的项目中为asp.net网站(而不是MVC)实现防伪令牌。我们无法在谷歌找到它。如果我们在global.asax中实现它,会更好。帮帮忙吧。提前谢谢。
浏览 0提问于2018-06-28得票数 0
回答已采纳
我有一个AngularJS单页应用程序(SPA),它由ASP.NET MVC应用程序托管。
后端是ASP.NET Web .我想通过在ASP.NET MVC部件中生成一个AntiForgeryToken来保护它免受ASP.NET 攻击,然后将它传递给AngularJS,然后让Web 验证从后续<code>E 116</code“跨站点请求伪造(CSRF)是一种攻击,它迫使最终用户在当前通过身份验证的web应用程序上执行不必要的操作。C
浏览 8提问于2015-09-08得票数 43
回答已采纳
如果我们启用HTTPS,那么每个会话生成一个CSRF令牌并为会话中的所有请求使用该令牌就足够了吗?
浏览 0提问于2013-01-03得票数 8
回答已采纳
似乎每个页面都可以使用authenticity_token,我有“确定参数”选项卡,并且收到了错误
ActionController::Devise::SessionsController#create中的失效认证托肯
浏览 4提问于2015-02-24得票数 0
回答已采纳
1回答
我在我的网站上默认使用csrf保护。网站上有一些表单,允许用户将数据发送到DB (如评论)。
正如你所知道的- csrf保护足以防止攻击和注射?
浏览 3提问于2016-01-15得票数 0
回答已采纳
我有一个带有字段的模型类(称为'MyCustomersXml'),我想将它填充到一个隐藏字段中。我遇到的问题是,当用户单击submit按钮时,我会得到一个500错误。我知道ASP.Net在默认情况下会进行某种类型的验证,以防止html样式的内容在控件值中出现,所以我的问题是3是否也共享这种行为?如果是这样的话,我如何绕过这种行为在回发中允许Xml?
浏览 5提问于2012-01-17得票数 2
回答已采纳
1回答
我正在构建一个ASP.NET web应用程序,它有许多表单供公共用户注册并输入数据以保存到数据库中。我一直想深入了解真正的AJAX,所以我已经将许多事务写成了RESTful web服务。在代码评审时,团队成员反对这种方法,理由是,
Does这个论点使merit?
浏览 1提问于2011-05-19得票数 1
回答已采纳
1回答
根据OWASP如果在ASP.NET应用程序中包含SessionID,则可以在ViewState应用程序中防止SessionID。从该条中:
Viewstate可以用作CSRF防御,因为攻击者很难伪造有效的Viewstate。伪造一个有效的Viewstate并不是不可能的,因为攻击者可以获得或猜测参数值是可行的。但是,如果将当前会话ID添加到ViewState中,则使每个Viewstate都是唯一的,从而对CSRF免疫
浏览 0提问于2014-04-21得票数 1
回答已采纳
1回答
我想防止我的应用程序受到XSS和CSRF攻击,我想做一些全局检查以防止这些攻击。我在statup文件中使用了ConfigureServices函数中的以下代码,它可以防止CSRF攻击,但我不确定这是否足以防止这两种攻击,或者是否需要编写一些代码来分别防止XSS攻击。
浏览 1提问于2020-03-03得票数 0
2回答
("Got a result", res);
});<form name="myForm" id="myForm" method="POST" action="">{% csrf_token
浏览 0提问于2014-03-22得票数 1
最近,为应用程序生成了一份应用程序的报告,根据该报告,该应用程序存在严重的安全问题,比如它容易出现CSRF、SQL注入等问题。现在,我必须纯用Java实现一些东西,而不使用任何框架,并摆脱这种CSRF攻击。我做了一些google,并了解到我们必须在URL中添加一个临时令牌,然后验证它。这是唯一的办法。
浏览 1提问于2014-11-11得票数 0
回答已采纳
云服务器
ICP备案
云直播
实时音视频
即时通信 IM
腾讯云开发者
