2013-02-20 107 views
1

AntiForgeryToken如何失效?我已经设置了这个标记来防止我的登录页面发生CSRF攻击,并用提琴手检查了它。当我调用GET方法时,令牌生成为隐藏字段__RequestVerificationToken。当我发布登录数据时,应该在下次GET调用时更改此令牌?我通过发布数据和重新发布/重放请求来捕捉小提琴手这个值,这个工作。这是好行为,还是不应该发生这种重播,因为在我离开该表单之后,令牌值不应该有效。AntiForgeryToken验证Asp.Net MVC 3

在此先感谢。

回答

2

令牌绑定到会话cookie;当会话消失并且Cookie消失时,令牌将变为无效。重播Fiddler的原因是Fiddler捕获(并重放)会话cookie和表单令牌。

您可以通过在播放前删除请求的Cookie从Fiddler中的头部来模拟会话过期。服务器应该拒绝表单的__RequestVerificationToken字段。

+0

JUP我看到我删除了Cookie值/令牌** __ RequestVerificationToken_Lw __ **但是如何轻松窃取该cookie包含** __ RequestVerificationToken_Lw **令牌?当该会话cookie在服务器上到期时 – 2013-02-21 06:42:58