我有两份申请。一个应用程序执行表单提交(Http post)到其他应用程序(两者都是单独托管在同一站点下的mvc应用程序)。表单提交是传统的javascript提交。在控制器中准备隐藏变量作为htmlstring,并通过Response.write从控制器发布它。现在,我该如何为这个场景实现防伪令牌逻辑呢?是否可以在控制器中调用antiforgerytoken()。请提个建议。
浏览 0提问于2015-11-04得票数 0
1回答
我有一个索引页面上的ViewComponent,使另一个页面的LogTransaction的帖子。当我发布到LogTransaction页面时,它返回一个400。我知道找到了这个页面,因为当我向LogTransaction发出GET请求时,它工作得很好。但每当我尝试发布时,它都会返回一个400。 本地主机上包含的ViewComponent的Default.cshtml :5001/索引: @using BudgetTracker.BudgetSquirrel.Web.Pages
<form action="/LogTr
浏览 66提问于2019-10-06得票数 2
回答已采纳
2回答
CSRF实施
、、
我是在网站上工作,在那里我想包括csrf检查使用转介检查,这是足够的方式来保护表单免受csrf攻击吗?
如果不是,攻击者能做些什么来绕过它呢?
浏览 0提问于2015-02-03得票数 1
我想在我的网站上阻止CSRF。我需要样本在核心asp.net与c#的工作项目。请分享如果有人有或提出建议,如何尽快做到这一点。
提前感谢
浏览 4提问于2015-09-24得票数 0
这些都是由ASP.NET自动处理的吗?还是我们必须显式地做一些事情来确保我们的应用程序的安全?
谢谢,乔恩
浏览 1提问于2009-01-24得票数 3
回答已采纳
1回答
在我看来,这是一个使您的API现在易受CSRF攻击的完美方法。其解释是同一原产地策略是阻止浏览器中的XHR请求使API端点完全易受CSRF攻击的唯一东西,而CORS本质上是SOP的一个旁路。我的逻辑听起来是不是说,任何具有过度许可的CORS设置的站点实际上都在向CSRF攻击暴露它们的后端API?如果是这样的话,那么无论何时提出CORS,都应该明确地提到这一点。
浏览 1提问于2016-07-19得票数 1
目前,HP扫描我们的ASP.NET MVC代码,并向我展示一些CSRF问题。OWASP的信息,并发现由于"More frameworks offering secure-by-default settings and some form of protections"的原因,CSRF那么,在ASP.NET MVC上对CSRF的保护是什么呢?如果我们不在Controller上添加[ValidateAntiForgeryToken]属性,这是否意味着控制器仍然容易受到CSRF</e
浏览 1提问于2018-01-22得票数 3
回答已采纳
1回答
_csrf=@Model.cookie" default />....
我遇到的问题是在页面第一次加载时,GetXsrfToken()方法返回"TestToken“。
浏览 2提问于2018-11-07得票数 0
如果我们启用HTTPS,那么每个会话生成一个CSRF令牌并为会话中的所有请求使用该令牌就足够了吗?
浏览 0提问于2013-01-03得票数 8
回答已采纳
2回答
我的问题是关于XSS/CSRF攻击的ASP.NET MVC 5。但此令牌只能与POST请求一起使用。根据我的测试团队,为了防止CSRF攻击,每个请求都应该有一个令牌号,并且他们只要求有POST请求,而不是一个GET请求。所以我的问题是:
如何通过GET请求生成和发送抗伪造令牌?
浏览 6提问于2014-07-07得票数 1
回答已采纳
1回答
我正在构建一个ASP.NET web应用程序,它有许多表单供公共用户注册并输入数据以保存到数据库中。我一直想深入了解真正的AJAX,所以我已经将许多事务写成了RESTful web服务。
浏览 1提问于2011-05-19得票数 1
回答已采纳
1回答
我正在使用asp.net mvc4 web api。为了安全起见,我使用表单身份验证。我在客户端有asp表单页面(.aspx)。在这种情况下有没有实现防伪的方法。请详细描述一下。
浏览 3提问于2013-10-10得票数 2
我知道ASP.Net在默认情况下会进行某种类型的验证,以防止html样式的内容在控件值中出现,所以我的问题是3是否也共享这种行为?如果是这样的话,我如何绕过这种行为在回发中允许Xml?
浏览 5提问于2012-01-17得票数 2
回答已采纳
我想关闭通过AJAX发布原始JSON的CSRF漏洞。我熟悉MVC使用ValidateAntiForgeryTokenAttribute和@Html.AntiForgeryToken()自动预防CSRF的机制;然而,如果我理解正确的话,这种机制要求POST在ASP.Net MVC中是否有一个内置的机制,可以拒绝Content-Type为application/json的POST请求的CSRF?如果不是,我是否坚持将防伪放入JSON对象本身?您能推荐一种技术来保护JSON POST请求免受CSRF漏
浏览 2提问于2011-09-01得票数 16
回答已采纳
为了避免XSS攻击,我在我的链接中使用CSRF数据。但是,当我将用户链接到外部网站时,如果他们正在检查HTTP_REFERER,则目标网页可能会捕获此CSRF数据。因此,我尝试创建一个名为RedirectPage.asp的页面,该页面将URL作为参数并执行Server.Redirect。但如果我单击pagex.asp?CSRF...上的外部链接,我捕获的最终HTTP_REFERER仍然是pagex.asp。谢谢!!
浏览 2提问于2013-01-30得票数 0
回答已采纳
1回答
CSRF标记修复
、、
我有一个加强的结果,说下面这行需要一个秘密来防止CSRF我有一个随机生成的GUID页面加载,我想比较它,当表单发布。我在经典的asp中看到过将令牌作为查询字符串放入操作中。
浏览 24提问于2018-09-07得票数 0
我试图在.Net核心中使用ValidateAntiForgeryToken,但是我发现.AspNetCore.Antiforgery.xxxxxxx cookie丢失了。
浏览 1提问于2017-09-14得票数 16
回答已采纳
云服务器
ICP备案
对象存储
云点播
实时音视频
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号