我正在寻找如何在.NET应用程序中创建自定义反CSRF令牌的建议。我们在大多数应用程序中使用ViewState,但我们希望通过几次调用.asmx Web服务来实现自定义令牌保护。.NET中的自定义CSRF令牌
如何在.NET中创建安全自定义标记?
我正在寻找如何在.NET应用程序中创建自定义反CSRF令牌的建议。我们在大多数应用程序中使用ViewState,但我们希望通过几次调用.asmx Web服务来实现自定义令牌保护。.NET中的自定义CSRF令牌
如何在.NET中创建安全自定义标记?
而不是创建一个,我建议使用免费提供,经过时间考验,质量,现有的之一。
所有的ViewState首先不只是一些魔术棒,停止CSRF,如果有的话ViewState的是更多的攻击比它防止源。 ViewState将prevent CSRF if you have ViewStateUserKey enabled。 (难道这使您的系统上???)
您可以阅读CSRF Prevention Cheat Sheet,并选择最适合您的方法。最常见的方法是random token included with every request。
谢谢。这将有所帮助。 – Trynity 2012-08-08 12:34:02